Thông tin về lỗ hổng
Plugin ZD YouTube FLV Player là một plugin cho WordPress được sử dụng để nhúng video từ YouTube vào các trang web WordPress. Plugin này cho phép người dùng dễ dàng nhúng các video từ YouTube vào bài viết, trang hoặc widget trên trang web của họ mà không cần kiến thức về mã nguồn hoặc việc chỉnh sửa mã HTML.
CVE-2024-2663 Là một lỗ hổng Server-Side Request Forgery (SSRF), một loại tấn công mà kẻ tấn công có thể giả mạo các yêu cầu web từ xa từ phía máy chủ, thường thông qua việc tận dụng các lỗ hổng trong ứng dụng web để thực hiện các hành động không được ủy quyền. Trong trường hợp này, lỗ hổng SSRF được phát hiện trong plugin ZD YouTube FLV Player cho WordPress, Khi khai thác thành công, một kẻ tấn công không cần xác thực có thể tạo ra các yêu cầu web từ xa từ ứng dụng web WordPress chứa plugin này. Điều này có thể dẫn đến khả năng truy cập và thay đổi thông tin từ các dịch vụ nội bộ hoặc từ xa, tùy thuộc vào cấu hình của môi trường web. Điểm đáng lưu ý là lỗ hổng này cần phải được khai thác từ xa và không yêu cầu xác thực, điều này có thể làm tăng nguy cơ về an ninh và bảo mật của các trang web WordPress sử dụng plugin ZD YouTube FLV Player.
Điểm CVSS
8.8
Ảnh hưởng
Kẻ tấn công có thể sử dụng lỗ hổng để truy cập vào các dịch vụ nội bộ mà chỉ có thể được truy cập từ bên trong mạng nội bộ. Điều này có thể bao gồm các cơ sở dữ liệu, máy chủ bảo mật, hệ thống lưu trữ, và nhiều hơn nữa.
SSRF có thể cho phép kẻ tấn công bỏ qua bất kỳ biện pháp bảo mật nào được triển khai bằng cách truy cập vào các dịch vụ nội bộ hoặc máy chủ từ xa.
SSRF thường được sử dụng như một phần của các cuộc tấn công phức tạp hơn, như tấn công lớp ứng dụng hoặc tấn công khai thác mạng nội bộ.
Kẻ tấn công có thể sử dụng SSRF để truy cập vào thông tin nhạy cảm, bao gồm thông tin người dùng, thông tin đăng nhập, hoặc dữ liệu quan trọng khác.
Khuyến nghị khắc phục
Lỗ hổng ảnh hưởng đến Plugin ZD YouTube FLV Player <= 1.2.6.
Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo cần gỡ cài đặt plugin khỏi hệ thống.
Tham khảo: https://irlab.vn/#!/case/~~959594664/details