Phát hiện lỗ hổng SQL Injection trong plugin Shipment Tracking, Tracking, and Order Tracking for WooCommerce – ParcelPanel, ảnh hưởng đến tất cả các phiên bản đến 3.8.2.
Plugin Shipment Tracking, Tracking, and Order Tracking for WooCommerce – ParcelPanel, dễ dàng cài đặt và sử dụng, đã được phát hiện chứa một lỗ hổng bảo mật SQL Injection trong tất cả các phiên bản đến 3.8.2. Lỗ hổng này xuất phát từ việc không thoát đủ ký tự đặc biệt trong tham số do người dùng cung cấp và thiếu sự chuẩn bị đầy đủ cho câu lệnh SQL hiện hành.
Điều này cho phép những kẻ tấn công đã xác thực, với quyền truy cập từ cấp độ người đăng ký trở lên, có khả năng chèn thêm các câu truy vấn SQL vào câu lệnh đã có sẵn, từ đó có thể trích xuất thông tin nhạy cảm từ cơ sở dữ liệu.
Lỗ hổng này được đánh giá là cực kỳ nghiêm trọng với điểm số CVSS là 9.9, cho thấy mức độ nguy hiểm cao về tính toàn vẹn và tính sẵn có của dữ liệu. Lỗ hổng đã được công bố công khai vào ngày 6 tháng 5 năm 2024 và cập nhật lần cuối vào ngày 7 tháng 5. Nhà nghiên cứu Le Ngoc Anh từ sun*inc là người đã phát hiện ra vấn đề này.
Để đảm bảo an toàn, các quản trị viên sử dụng plugin này cần nhanh chóng cập nhật lên phiên bản mới nhất ngay khi có bản vá được phát hành. Ngoài ra, việc áp dụng các biện pháp an ninh mạng chặt chẽ và thường xuyên kiểm tra các bản cập nhật bảo mật từ các nhà cung cấp là cần thiết để bảo vệ thông tin và hoạt động của website trước các mối đe dọa.