Thông tin từ Patchstack cho biết, đã xảy ra một lỗ hổng bảo mật trên plugin Advanced Custom Fields của WordPress, tác động đến khoảng 2 triệu trang web đang sử dụng nền tảng này.
Theo báo cáo của The Hacker News, lỗ hổng được đặt tên mã định danh CVE-2023-30777, liên quan đến việc khai thác trường hợp tấn công tập lệnh chéo (XSS) để thực thi mã tùy ý từ phía máy khách. Plugin Advanced Custom Fields có cả phiên bản miễn phí và trả phí, được sử dụng trên hơn 2 triệu trang web (theo thống kê từ nền tảng WordPress.org). Lỗi bảo mật này đã được phát hiện và thông báo cho các nhà phát triển từ ngày 2.5.2023.
Theo nhà nghiên cứu bảo mật của Patchstack là Rafie Muhammad, lỗ hổng trên plugin Advanced Custom Fields của WordPress cho phép kẻ tấn công không xác thực có thể đánh cắp thông tin nhạy cảm, như quyền leo thang đặc quyền trên trang web WordPress, bằng cách lừa quản trị viên truy cập vào địa chỉ do kẻ tấn công tạo ra.
Các cuộc tấn công XSS thường xảy ra khi nạn nhân bị lừa truy cập vào liên kết được gửi qua email hoặc các phương tiện truyền thông khác. Điều này dẫn đến việc mã độc được gửi đến trang web WordPress mục tiêu. Thêm vào đó, kỹ thuật xã hội được sử dụng như một yếu tố tấn công, tác nhân đe dọa sẽ phân phối liên kết độc hại tới càng nhiều nạn nhân càng tốt.
Lỗi CVE-2023-30777 có thể được kích hoạt trên cấu hình mặc định của plugin Advanced Custom Fields, và chỉ người dùng có quyền truy cập vào plugin mới có thể bị tác động.
Do đó, những quản trị viên sử dụng plugin Advanced Custom Fields trên trang web WordPress nên nâng cấp lên phiên bản 6.1.6 để vá lỗ hổng này, tránh bị các hacker khai thác. Đây là lời khuyên mà các blogger công nghệ như Trịnh Bảo đưa ra để bảo vệ các trang web WordPress khỏi những cuộc tấn công tiềm tàng.
Ghi chú: Mình thành lập website cá nhân này nhằm thỏa mãn đam mê viết lách, bao gồm những bài blog mình tự viết và cả những nội dung sưu tầm. Nếu bạn yêu thích hãy cùng kết nối với mình qua Zalo: 0949.339.222 hoặc Facebook: Trịnh Bảo. Cảm ơn bạn đã ghé thăm!
