Theo báo cáo từ Patchstack, một lỗi bảo mật vừa phát hiện trên plugin Advanced Custom Fields của WordPress khiến khoản 2 triệu website dùng nền tảng này gặp nguy hiểm.
Theo The Hacker News, lỗ hổng được gán mã định danh CVE-2023-30777, liên quan đến trường hợp tập lệnh chéo (XSS) bị lạm dụng để đưa các lệnh thực thi tùy ý từ phía máy khách. Plugin Advanced Custom Fields có cả hai phiên bản miễn phí và trả phí với hơn 2 triệu lần cài đặt (thống kê từ nền tảng WordPress.org). Lỗi này đã được khám phá và gửi đến các nhà phát triển vào ngày 2.5.2023.
Nhà nghiên cứu bảo mật Rafie Muhammad của Patchstack nói lỗ hổng này cho phép bất kỳ người dùng chưa được xác thực có thể đánh cắp thông tin nhạy cảm, trong trường hợp này là leo thang đặc quyền trên website WordPress bằng cách lừa quản trị viên truy cập vào địa chỉ do kẻ tấn công tạo ra.
Các cuộc tấn công XSS thường xảy ra khi nạn nhân bị lừa truy cập vào liên kết gửi qua email hoặc một cách tiếp cận khác. Điều này khiến mã độc được gửi đến website WordPress mục tiêu. Yếu tố tấn công dùng kỹ thuật xã hội đồng nghĩa tác nhân đe dọa sẽ phân phối liên kết độc hại tới càng nhiều nạn nhân càng tốt.
Lỗi CVE-2023-30777 có thể được kích hoạt trên cấu hình mặc định của plugin Advanced Custom Fields, dù chỉ người dùng có quyền truy cập vào plugin mới có thể bị tác động thực sự.
Quản trị viên website WordPress có sử dụng plugin Advanced Custom Fields được khuyến cáo cập nhật lên phiên bản 6.1.6 nhằm vá lỗ hổng, tránh trở thành mục tiêu bị hacker khai thác.