Chi tiết lỗ hổng:
- CVE-2024-10542 và CVE-2024-10781: Cả hai lỗ hổng này đều mang điểm CVSS 9.8/10, rất cao và cực kỳ nguy hiểm.
- CVE-2024-10781: Lỗ hổng này đến từ việc thiếu kiểm tra giá trị rỗng trên giá trị ‘api_key’ trong hàm ‘perform’ ở tất cả các phiên bản tới và bao gồm phiên bản 6.44.
- CVE-2024-10542: Lỗ hổng này là do việc bỏ qua xác thực qua kỹ thuật reverse DNS spoofing trong hàm CheckWithoutToken().
- Các lỗ hổng này liên quan đến vấn đề bỏ qua xác thực, cho phép tin tặc cài đặt và kích hoạt bất kỳ plugin nào, mở đường cho việc thực thi mã độc từ xa nếu plugin bị kích hoạt có lỗ hổng bảo mật.
Tác động:
- Những lỗ hổng này có thể cho phép tin tặc cài đặt, kích hoạt, vô hiệu hóa, hoặc thậm chí gỡ bỏ plugin.
- Việc khai thác thành công có thể dẫn đến việc cài đặt mã độc, gây thiệt hại nghiêm trọng cho trang web.
Khuyến nghị:
- Cập nhật ngay phiên bản mới nhất của plugin để bảo vệ trang web của bạn khỏi các mối đe dọa tiềm ẩn.