Cảnh báo lỗ hổng CVE-2024-2663 trong Plugin ZD YouTube FLV Player cho WordPress

Thứ sáu - 03/05/2024 15:12 400 0
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng CVE-2024-2663 trong Plugin ZD YouTube FLV Player cho WordPress nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.
lh

Thông tin về lỗ hổng

Plugin ZD YouTube FLV Player là một plugin cho WordPress được sử dụng để nhúng video từ YouTube vào các trang web WordPress. Plugin này cho phép người dùng dễ dàng nhúng các video từ YouTube vào bài viết, trang hoặc widget trên trang web của họ mà không cần kiến thức về mã nguồn hoặc việc chỉnh sửa mã HTML.

CVE-2024-2663 Là một lỗ hổng Server-Side Request Forgery (SSRF), một loại tấn công mà kẻ tấn công có thể giả mạo các yêu cầu web từ xa từ phía máy chủ, thường thông qua việc tận dụng các lỗ hổng trong ứng dụng web để thực hiện các hành động không được ủy quyền. Trong trường hợp này, lỗ hổng SSRF được phát hiện trong plugin ZD YouTube FLV Player cho WordPress, Khi khai thác thành công, một kẻ tấn công không cần xác thực có thể tạo ra các yêu cầu web từ xa từ ứng dụng web WordPress chứa plugin này. Điều này có thể dẫn đến khả năng truy cập và thay đổi thông tin từ các dịch vụ nội bộ hoặc từ xa, tùy thuộc vào cấu hình của môi trường web. Điểm đáng lưu ý là lỗ hổng này cần phải được khai thác từ xa và không yêu cầu xác thực, điều này có thể làm tăng nguy cơ về an ninh và bảo mật của các trang web WordPress sử dụng plugin ZD YouTube FLV Player.

Điểm CVSS
8.8

Ảnh hưởng

Kẻ tấn công có thể sử dụng lỗ hổng để truy cập vào các dịch vụ nội bộ mà chỉ có thể được truy cập từ bên trong mạng nội bộ. Điều này có thể bao gồm các cơ sở dữ liệu, máy chủ bảo mật, hệ thống lưu trữ, và nhiều hơn nữa.

SSRF có thể cho phép kẻ tấn công bỏ qua bất kỳ biện pháp bảo mật nào được triển khai bằng cách truy cập vào các dịch vụ nội bộ hoặc máy chủ từ xa.

SSRF thường được sử dụng như một phần của các cuộc tấn công phức tạp hơn, như tấn công lớp ứng dụng hoặc tấn công khai thác mạng nội bộ.

Kẻ tấn công có thể sử dụng SSRF để truy cập vào thông tin nhạy cảm, bao gồm thông tin người dùng, thông tin đăng nhập, hoặc dữ liệu quan trọng khác.

Khuyến nghị khắc phục

Lỗ hổng ảnh hưởng đến Plugin ZD YouTube FLV Player <= 1.2.6.

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo cần gỡ cài đặt plugin khỏi hệ thống.

Tham khảo: https://irlab.vn/#!/case/~~959594664/details

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây