fbpx

Tutor LMS <= 2.7.0 – Lỗ Hổng Bảo Mật 9.8 điểm: Thiếu Xác Thực Nghiêm Trọng

//

admin

Khám phá lỗ hổng bảo mật nghiêm trọng trong các phiên bản Tutor LMS đến 2.7.0. Tìm hiểu về rủi ro và cập nhật cần thiết.

Tutor LMS Thiếu Xác Thực: Một Lỗi Bảo Mật Nghiêm Trọng

Plugin Tutor LMS cho WordPress tồn tại một lỗ hổng bảo mật nghiêm trọng được xác định trong tất cả các phiên bản lên đến và bao gồm cả 2.7.0. Vấn đề này, được phân loại là CVE-2024-4223, đã được công bố công khai vào ngày 15 tháng 5 năm 2024 với điểm CVSS nghiêm trọng là 9.8.

Mô tả

Lỗ hổng này, do thiếu kiểm tra khả năng, cho phép các kẻ tấn công không xác thực có thể thêm, sửa đổi hoặc xóa dữ liệu. Lỗi này tồn tại trong nhiều chức năng của plugin Tutor LMS, cho phép truy cập trái phép vào dữ liệu, sửa đổi dữ liệu và có thể gây mất dữ liệu.

Tác động

Những ảnh hưởng của lỗ hổng này rất nghiêm trọng, vì nó cho phép thực hiện các hành động sau mà không cần xác thực:

  • Truy cập Dữ liệu Trái phép: Kẻ tấn công có thể truy cập dữ liệu nhạy cảm mà không cần xác thực.
  • Sửa đổi Dữ liệu: Kẻ tấn công có thể thay đổi dữ liệu hiện có, dẫn đến thông tin sai lệch và có thể gây ra sự gián đoạn.
  • Xóa Dữ liệu: Dữ liệu quan trọng có thể bị xóa, gây mất mát dữ liệu đáng kể.

Mức Độ Nghiêm Trọng

Với vector CVSS là CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, lỗ hổng này được phân loại là nghiêm trọng. Vector này cho thấy rằng cuộc tấn công có thể được thực hiện từ xa với độ phức tạp thấp, không yêu cầu quyền hạn hoặc tương tác người dùng, và có ảnh hưởng cao đến tính bảo mật, toàn vẹn và sẵn sàng.

Nhà Nghiên Cứu

Lỗ hổng này được phát hiện và báo cáo bởi nhà nghiên cứu có tên villu164.

Khuyến Nghị

Để giảm thiểu lỗ hổng nghiêm trọng này, người dùng nên cập nhật ngay lập tức plugin Tutor LMS lên phiên bản mới nhất, nơi các vấn đề bảo mật đã được khắc phục. Việc thường xuyên cập nhật và kiểm tra bảo mật là rất quan trọng để bảo vệ các trang WordPress khỏi các lỗ hổng tương tự.

Tham Khảo

Để biết thêm thông tin chi tiết, bạn có thể truy cập plugins.trac.wordpress.org.


Lưu ý: Đảm bảo theo dõi bất kỳ bản cập nhật hoặc bản vá nào do các nhà phát triển plugin phát hành để duy trì bảo mật và tính toàn vẹn cho trang web WordPress của bạn.

Contact

France

Connect

Subscribe

Join our email list to receive the latest updates.

[email protected]

Discover more from Sociozy

Subscribe now to keep reading and get access to the full archive.

Continue reading