🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng mới trong plugin WordPress phổ biến khiến hơn 2 triệu trang web có nguy cơ bị tấn công

08/05/2023

Người dùng plugin Advanced Custom Fields dành cho WordPress đang được khuyến khích cập nhật lên phiên bản 6.1.6 sau khi lỗ hổng bảo mật mới trong plugin này được phát hiện.

Lỗ hổng có định danh CVE-2023-30777, liên quan đến lỗi reflected cross-site scripting (XSS) có thể bị lạm dụng để chèn các đoạn mã thực thi tùy ý vào các trang web mục tiêu.

Plugin, có cả phiên bản miễn phí và trả phí, có hơn hai triệu lượt cài đặt đang hoạt động. Lỗ hổng đã được phát hiện và báo cáo cho những người bảo trì vào ngày 02/05/2023.

Nhà nghiên cứu Rafie Muhammad của Patchstack cho biết: “Lỗ hổng này cho phép bất kỳ người dùng nào, không cần xác thực, đánh cắp thông tin nhạy cảm và leo thang đặc quyền trên trang web WordPress bằng cách lừa người dùng quản trị truy cập vào liên kết URL độc hại.

Lưu ý rằng CVE-2023-30777 có thể được kích hoạt trên cài đặt hoặc cấu hình mặc định của Advanced Custom Fields, tuy nhiên chỉ những người dùng đã đăng nhập có quyền truy cập vào plugin mới có thể thực hiện.

Các cuộc tấn công Reflected XSS thường xảy ra khi nạn nhân bị lừa nhấp vào một liên kết độc hại được gửi qua email hoặc một nguồn khác, sau đó mã độc sẽ được gửi đến trang web bị ảnh hưởng và thực thi trên trình duyệt của người dùng.

Imperva cho biết "một cuộc tấn công Reflected XSS thường bắt nguồn từ việc thiếu kiểm tra, sàng lọc dữ liệu do người dùng gửi lên, cho phép kẻ xấu thao túng các chức năng của ứng dụng web và kích hoạt các đoạn mã độc hại".

Để tránh trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên kiểm tra cẩn thận các liên kết trước khi truy cập vào nó, tuyệt đối không nhấp vào các liên kết nhận được từ nguồn lạ/không xác định, đồng thời thường xuyên kiểm tra thông tin trên trang chính thức của nhà phát hành sản phẩm để kịp thời cập nhật bản vá cho các ứng dụng đang sử dụng.

Nguồn: thehackernews.com.

scrolltop