Các nhà nghiên cứu tại Patchstack đã phát hiện lỗ hổng XSS tồn tại trong Freemius WordPress SDK, ảnh hưởng đến hơn 7 triệu trang web dựa trên hàng nghìn plugin và theme sử dụng SDK này.
Lỗ hổng có mã định danh CVE-2023-33999, là lỗi Reflected Cross-Site Scripting (XSS) trên toàn trang web, tồn tại trong Freemius WordPress SDK phiên bản 2.5.9 trở xuống. Lỗ hổng này có khả năng cho phép bất kỳ người dùng chưa được xác thực nào đánh cắp thông tin nhạy cảm hoặc thậm chí leo thang đặc quyền trên trang web WordPress. Chẳng hạn, hacker có thể lừa quản trị viên hoặc người dùng có đặc quyền khác truy cập vào một URL được tạo đặc biệt để khai thác lỗ hổng này.
Freemius WordPress SDK là một bộ công cụ phát triển phần mềm quan trọng cho nền tảng thương mại điện tử Freemius, được sử dụng để bán các plugin và theme trên WordPress.
CVE-2023-33999 đã được khắc phục trên Freemius WordPress SDK phiên bản 2.5.10 và hiện chưa ghi nhận cuộc tấn công nào nhắm vào lỗ hổng.
Quản trị viên đang sử dụng Freemius SDK được khuyến nghị cập lên phiên bản 2.5.20 để đảm bảo an toàn.
Quản trị viên có thể kiểm tra xem trang web đã được vá hay chưa bằng cách thực hiện theo các bước sau:
Bước 1: Truy cập /wp-admin/admin.php?page=freemius trên trang web của bạn.
Bước 2: Kiểm tra “Active SDK version”.
Bước 3: Đảm bảo rằng nó hiển thị “2.5.10” hoặc phiên bản cao hơn.
Nguồn: Security Online