Một lỗ hổng nghiêm trọng đã được phát hiện trong Plugin RegistrationMagic trong WordPress. Đây là plugin cho phép tạo các biểu mẫu đăng ký chuyên nghiệp cho trang web, hiện có hơn 10.000 lượt cài đặt đang hoạt động trên toàn thế giới.
Lỗ hổng trong plugin được theo dõi là CVE-2023-2499 (điểm CVSS là 9,8) là một lỗ hổng vượt qua các lớp xác thực trong các phiên bản RegistrationMagic trước 5.2.1.0.
Lỗ hổng xuất phát từ việc thiếu xác minh trong quá trình đăng nhập của Google thông qua plugin. Cho phép những kẻ tấn công không được xác thực đăng nhập với tư cách là bất kỳ người dùng hiện có nào trên trang web, bao gồm cả quản trị viên, miễn là họ có quyền truy cập vào email. Tin tặc giành được quyền truy cập với tư cách quản trị viên có thể thực hiện các thay đổi trái phép, lấy cắp thông tin nhạy cảm hoặc thậm chí chiếm quyền kiểm soát toàn bộ trang web.
Người dùng plugin RegistrationMagic được khuyến nghị cập nhật lên phiên bản 5.2.1.1 để đảm bảo an toàn.
Nguồn: Securityonline