Kritická zraniteľnosť v doplnku WordPress
Zásuvný modul Forminator obľúbenej platformy na tvorbu webových stránok obsahuje jednu kritickú a dve vysoko závažné zraniteľnosti. Chyby umožňujú nahrať a spustiť škodlivý kód na serveri stránky, únik citlivých informácií a odmietnutie služby. Zásuvný modul využíva viac ako 500 000 stránok.
Zraniteľné systémy:
- Forminator verzie staršie ako 1.29.3
Opis činnosti:
CVE-2024-28890
Kritická zraniteľnosť CVE-2024-28890 bola zistená v module Forminator a umožňuje vzdialenému útočníkovi nahrať a spustiť škodlivý softvér na serveri stránky. Nedostatočná validácia súborov počas ich nahrávania môže viesť k získaniu citlivých informácií, zmene stránky alebo môže dôjsť k odmietnutiu služby (DoS).
CVE-2024-31077
Zraniteľnosť CVE-2024-31077 je chyba typu SQL injection, ktorá umožňuje vzdialenému útočníkovi s oprávneniami správcu vykonávať ľubovoľné príkazy SQL v databáze stránky. Táto zraniteľnosť môže viesť k neoprávnenému čítaniu, upravovaniu alebo odstráneniu údajov v databáze, čím sa môže poškodiť integrita dostupnosť a dôvernosť stránky.
CVE-2024-31857
Zraniteľnosť CVE-2024-31857 je chyba typu Cross-site scripting (XSS), ktorá umožňuje vzdialenému útočníkovi spustiť ľubovoľný HTML kód a skripty v prehliadači používateľa. Úspešné zneužitie tejto zraniteľnosti umožňuje získať citlivé informácie, ako sú prihlasovacie údaje, alebo vykonať ďalšie útoky z vnútra používateľského prostredia.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Únik citlivých informácií
- Ľubovoľné vykonávanie kódu
- Odmietnutie služby
Odporúčania:
Bezodkladná aktualizácia zásuvného modelu Forminator na verziu 1.29.3 alebo novšiu.
Odkazy:
https://www.cybersecurity-help.cz/vdb/SB2024041832
https://jvn.jp/en/jp/JVN50132400/
https://www.cybersecurity-help.cz/vdb/SB2024041833