Cảnh báo lỗ hổng CVE-2024-5756 trong Plugin Email Subscribers by Icegram Express cho WordPress

Thông tin về lỗ hổng

Email Subscribers by Icegram Express là một plugin WordPress phổ biến được sử dụng để quản lý và gửi email marketing, bản tin (newsletters), và thông báo tự động.

CVE-2024-5756 là một lỗ hổng bảo mật nghiêm trọng trong plugin Email Subscribers by Icegram Express dành cho WordPress

Plugin này dễ bị tấn công SQL Injection dựa trên thời gian thông qua tham số “db” trong tất cả các phiên bản cho đến 5.7.23. Lỗ hổng này xảy ra do không thoát các kí tự đặc biệt do người dùng cung cấp và thiếu chuẩn bị đầy đủ cho truy vấn SQL hiện có. Điều này cho phép kẻ tấn công không xác thực có thể thêm các truy vấn SQL bổ sung vào các truy vấn hiện có, có thể được sử dụng để trích xuất thông tin nhạy cảm từ cơ sở dữ liệu

Điểm CVSS
9.8

Ảnh hưởng

Lỗ hổng này đặc biệt nghiêm trọng vì nó có thể dẫn đến việc kẻ tấn công truy cập và thao tác cơ sở dữ liệu của trang web, bao gồm cả việc lấy thông tin nhạy cảm và tiềm năng thực thi mã độc hại.

Khuyến nghị khắc phục

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo nên cập nhật plugin lên phiên bản 5.7.24 hoặc phiên bản mới nhất mới nhất để tránh rủi ro từ lỗ hổng bảo mật này.