Theo The Hacker News, một lỗ hổng bảo mật đã được phát hiện trong plugin Advanced Custom Fields của WordPress. Lỗ hổng có mã định danh CVE-2023-30777, cho phép các đối tượng thực hiện các cuộc tấn công lừa đảo XSS (cross-site scripting) để thực thi các lệnh tùy ý từ phía người dùng.
Plugin Advanced Custom Fields có cả phiên bản miễn phí và trả phí với hơn 2 triệu lần cài đặt. Lỗ hổng đã được các nhà nghiên cứu phát hiện và thông báo cho nhà phát triển vào ngày 2.5.2023.
Theo nhà nghiên cứu bảo mật Rafie Muhammad, lỗ hổng này cho phép bất kỳ người dùng nào truy cập trái phép có thể đánh cắp thông tin nhạy cảm, trong trường hợp này là nâng cao đặc quyền trên trang web WordPress bằng cách lừa đảo quản trị viên truy cập vào địa chỉ do kẻ tấn công tạo ra.
Các cuộc tấn công XSS thường xảy ra khi nạn nhân bị lừa đảo truy cập vào liên kết được gửi qua email hoặc một cách tiếp cận khác. Điều này khiến mã độc được gửi đến trang web WordPress. Lỗ hổng CVE-2023-30777 có thể được kích hoạt trên cấu hình mặc định của plugin, mặc dù chỉ người dùng có quyền truy cập vào plugin mới bị ảnh hưởng.
Đoạn mã gây ra lỗ hổng giúp Hacker tấn công qua giao thức XSS
Quản trị viên sử dụng Advanced Custom Fields được khuyến nghị cập nhật lên phiên bản 6.1.6 để vá lỗ hổng và tránh bị tấn công.
TH (phapluatxahoi.kinhtedothi.vn)
