Cảnh báo lỗ hổng CVE-2024-5756 trong Plugin Email Subscribers by Icegram Express cho WordPress

Thứ tư - 26/06/2024 14:45 222 0
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng CVE-2024-5756 trong Plugin Email Subscribers by Icegram Express cho WordPress nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.
lh

Thông tin về lỗ hổng

Email Subscribers by Icegram Express là một plugin WordPress phổ biến được sử dụng để quản lý và gửi email marketing, bản tin (newsletters), và thông báo tự động.

CVE-2024-5756 là một lỗ hổng bảo mật nghiêm trọng trong plugin Email Subscribers by Icegram Express dành cho WordPress

Plugin này dễ bị tấn công SQL Injection dựa trên thời gian thông qua tham số “db” trong tất cả các phiên bản cho đến 5.7.23. Lỗ hổng này xảy ra do không thoát các kí tự đặc biệt do người dùng cung cấp và thiếu chuẩn bị đầy đủ cho truy vấn SQL hiện có. Điều này cho phép kẻ tấn công không xác thực có thể thêm các truy vấn SQL bổ sung vào các truy vấn hiện có, có thể được sử dụng để trích xuất thông tin nhạy cảm từ cơ sở dữ liệu

Điểm CVSS
9.8

Ảnh hưởng

Lỗ hổng này đặc biệt nghiêm trọng vì nó có thể dẫn đến việc kẻ tấn công truy cập và thao tác cơ sở dữ liệu của trang web, bao gồm cả việc lấy thông tin nhạy cảm và tiềm năng thực thi mã độc hại.

Khuyến nghị khắc phục

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo nên cập nhật plugin lên phiên bản 5.7.24 hoặc phiên bản mới nhất mới nhất để tránh rủi ro từ lỗ hổng bảo mật này.

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây