Người dùng plugin Advanced Custom Fields dành cho WordPress đang được khuyến khích cập nhật lên phiên bản 6.1.6 sau khi lỗ hổng bảo mật mới trong plugin này được phát hiện.
Lỗ hổng có định danh CVE-2023-30777, liên quan đến lỗi reflected cross-site scripting (XSS) có thể bị lạm dụng để chèn các đoạn mã thực thi tùy ý vào các trang web mục tiêu.
Plugin, có cả phiên bản miễn phí và trả phí, có hơn hai triệu lượt cài đặt đang hoạt động. Lỗ hổng đã được phát hiện và báo cáo cho những người bảo trì vào ngày 02/05/2023.
Nhà nghiên cứu Rafie Muhammad của Patchstack cho biết: “Lỗ hổng này cho phép bất kỳ người dùng nào, không cần xác thực, đánh cắp thông tin nhạy cảm và leo thang đặc quyền trên trang web WordPress bằng cách lừa người dùng quản trị truy cập vào liên kết URL độc hại.
Lưu ý rằng CVE-2023-30777 có thể được kích hoạt trên cài đặt hoặc cấu hình mặc định của Advanced Custom Fields, tuy nhiên chỉ những người dùng đã đăng nhập có quyền truy cập vào plugin mới có thể thực hiện.
Các cuộc tấn công Reflected XSS thường xảy ra khi nạn nhân bị lừa nhấp vào một liên kết độc hại được gửi qua email hoặc một nguồn khác, sau đó mã độc sẽ được gửi đến trang web bị ảnh hưởng và thực thi trên trình duyệt của người dùng.
Imperva cho biết "một cuộc tấn công Reflected XSS thường bắt nguồn từ việc thiếu kiểm tra, sàng lọc dữ liệu do người dùng gửi lên, cho phép kẻ xấu thao túng các chức năng của ứng dụng web và kích hoạt các đoạn mã độc hại".
Để tránh trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên kiểm tra cẩn thận các liên kết trước khi truy cập vào nó, tuyệt đối không nhấp vào các liên kết nhận được từ nguồn lạ/không xác định, đồng thời thường xuyên kiểm tra thông tin trên trang chính thức của nhà phát hành sản phẩm để kịp thời cập nhật bản vá cho các ứng dụng đang sử dụng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Meta đã thực hiện các bước để gỡ bỏ hơn 1.000 URL độc hại được chia sẻ trên các dịch vụ của mình. Các URL này được phát hiện đã lợi dụng ChatGPT của OpenAI làm mồi nhử để quảng cáo khoảng 10 phần mềm độc hại kể từ tháng 3 năm 2023.
Tín nhiệm mạng | Cisco đã cảnh báo về một lỗ hổng trong giao diện quản lý dựa trên web của các bộ chuyển đổi SPA112 2-Port Phone của Cisco, có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị mà không cần xác thực
Tín nhiệm mạng | Google đã bắt đầu triển khai giải pháp không cần mật khẩu (passwordless solution) cho các Tài khoản Google trên tất cả các nền tảng.
Tín nhiệm mạng | Một hoạt động thực thi pháp luật quốc tế đã dẫn đến việc bắt giữ 288 nhà cung cấp được cho là có liên quan đến việc buôn bán ma túy trên web đen, thêm vào một danh sách dài các doanh nghiệp tội phạm đã bị đóng cửa trong những năm gần đây.
Tín nhiệm mạng | Những người bảo trì phần mềm trực quan hóa dữ liệu mã nguồn mở Apache Superset đã phát hành các bản vá để khắc phục một lỗi cấu hình mặc định không an toàn có thể dẫn đến thực thi mã từ xa.
Tín nhiệm mạng | Một lỗ hổng bảo mật có độ nghiêm trọng mức cao ảnh hưởng đến Service Location Protocol có thể bị khai thác để thực hiện các cuộc tấn công từ chối dịch vụ quy mô lớn nhằm vào các mục tiêu.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
