Hơn một triệu trang WordPress có nguy cơ bị tấn công bởi lỗ hổng CVE-2023-32243

10:11, 19/05/2023

Mới đây, một lỗ hổng nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến Essential Addons for Elementor có khả năng bị khai thác để chiếm được các đặc quyền nâng cao trên các trang web bị ảnh hưởng.

Hơn một triệu trang WordPress có nguy cơ bị tấn công bởi lỗ hổng CVE-2023-32243.

Cụ thể, lỗ hổng nghiêm trọng định danh CVE-2023-32243, đã được các nhà bảo trì plugin xử lý trong phiên bản 5.7.2. Theo thống kê, một phần mở rộng của sản phẩm Wordpress là Essential Addons for Elementor có hơn một triệu lượt cài đặt đang hoạt động.

Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công đặt lại mật khẩu của bất kỳ người dùng nào mà chúng biết tên đăng nhập. Lỗ hổng được cho là đã tồn tại từ phiên bản 5.4.0.

Cùng với đó, lỗ hổng có thể bị lợi dụng thực hiện tấn công hàng loạt để đặt lại mật khẩu được liên kết với tài khoản quản trị viên và chiếm toàn quyền kiểm soát trang web.

Đây là lần thứ 2 trong vòng một tuần WordPress bị phát hiện tồn tại lỗ hổng. Trước đó, ngày 06/05, plugin Advanced Custom Fields cũng đã bị phát hiện có lỗ hổng leo thang đặc quyền CVE-2023-30777 bằng cách lừa người dùng nhấp vào một đường dẫn URL.

Thiên Thanh (T/h)