Hàng triệu trang web WordPress đối mặt nguy cơ bị tấn công bởi lỗ hổng CVE-2024-4984
Plugin Yoast SEO của WordPress được sử dụng rộng rãi với hơn 5 triệu lượt cài đặt, vừa bị phát hiện tồn tại hổng Stored Cross-Site Scripting (XSS).
Lỗ hổng có mã định danh CVE-2024-4984 có thể cho phép tin tặc đưa các tập lệnh độc hại vào các trang web, xâm phạm dữ liệu của khách truy cập, chuyển hướng lưu lượng truy cập hoặc thậm chí chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Lỗ hổng XSS tồn tại trong trường “display_name”, được sử dụng để hiển thị tên tác giả trên các bài đăng và trang blog. Do không đủ khả năng kiểm soát dữ liệu đầu vào và đầu ra, những kẻ tấn công có quyền truy cập cấp cộng tác viên trở lên có thể thao túng trường này để tiêm mã độc.
Bất kỳ trang web WordPress nào chạy Yoast SEO phiên bản 22.6 trở xuống đều có nguy cơ bị tấn công. Một cuộc tấn công XSS thành công có thể cho phép kẻ tấn công có thể đánh cắp thông tin nhạy cảm như thông tin đăng nhập của người dùng hoặc dữ liệu tài chính; Thay đổi giao diện hoặc nội dung của trang web. Cùng với đó, kẻ tấn công có thể tạo các trang đăng nhập hoặc cửa sổ bật lên giả mạo để lừa người dùng tiết lộ thông tin của họ. Đồng thời, các tập lệnh được chèn có thể tải phần mềm độc hại xuống thiết bị của khách truy cập
Người dùng được khuyến cáo nên cập nhật Yoast SEO lên phiên bản 22.7, xem xét lại quyền của người dùng và giới hạn quyền truy cập ở cấp cộng tác viên chỉ cho những cá nhân đáng tin cậy.
Theo Tạp chí An toàn thông tin