- Người dùng plugin Advanced Custom Fields ACF dành cho WordPress được khuyến nghị cập nhật lên phiên bản 6.1.6 sau khi lỗ hổng bảo mật mới trong plugin này được phát hiện.

Lỗ hổng CVE-2023-30777 liên quan đến lỗi Reflected XSS, cho phép đối tượng tấn công thực thi lệnh tùy ý nhằm vào các trang web mục tiêu.

Lỗ hổng này được phát hiện vào ngày 02/5/2023 và tại thời điểm đó đã có hơn hai triệu lượt cài đặt, đối với cả phiên bản miễn phí và trả phí.

Lỗ hổng này cho phép các đối tượng tấn công không cần xác thực đánh cắp thông tin nhạy cảm và thực hiện tấn công nâng cao đặc quyền trên trang web WordPress bằng cách lừa người dùng quản trị truy cập vào liên kết URL độc hại.

Các cuộc tấn công Reflected XSS xảy ra khi người dùng truy cập vào một liên kết độc hại được gửi qua email. Sau khi truy cập trang web/ liên kết độc hại này, mã độc sẽ được cài cắm và thực thi trên trình duyệt web của người dùng.

Reflected XSS thường bắt nguồn từ việc thiếu kiểm tra, sàng lọc dữ liệu do người dùng gửi lên, cho phép đối tượng tấn công sử dụng các chức năng của ứng dụng web và kích hoạt các đoạn mã độc hại.

Lỗ hổng CVE-2023-30777 có thể được kích hoạt trong cài đặt mặc định hoặc cấu hình Advanced Custom Fields.

Ngoài ra, các nhà nghiên cứu bảo mật cho biết còn một lỗ hổng XSS khác trong phần mềm cPanel là CVE-2023-29489 có mức ảnh hưởng Trung bình (điểm CVSS: 6.1).

Lỗ hổng này cho phép đối tượng tấn công thực thi mã JavaScript tùy ý mà không cần xác thực. Không chỉ các cổng quản lý của cPanel bị tấn công thông qua lỗ hổng này mà cả những trang web hoạt động trên cổng 80 và cổng 443 cũng có nguy cơ bị tấn công.

Để giảm thiểu nguy cơ bị tấn công mạng các cơ quan, tổ chức nên cập nhật bản vá cho các thiết bị bị ảnh hưởng. Đồng thời kiểm tra kỹ các trang web trước khi thực hiện truy cập.

PV