Một lỗ hổng XSS đã được tìm thấy trong plugin Advanced Custom Fields (ACF) và Advanced Custom Fields Pro WordPress. Lỗ hổng có mã CVE-2023-40068, ảnh hưởng phiên bản 6.1.0 đến 6.1.7 của plugin.
Để khai thác lỗ hổng, kẻ tấn công tạo Post Type hoặc Taxonomy độc hại. Khi người dùng xem trang có các thành phần độc hại này, script của hacker sẽ được thực thi trên trình duyệt web của nạn nhân. Kẻ tấn công cần quyền truy cập admin vào màn hình quản trị của ACF để thực hiện điều này.
Với con số 2 triệu lượt cài đặt đang hoạt động trên toàn cầu, ảnh hưởng của lỗ hổng được đánh giá là rất nghiêm trọng.
Người dùng ACF hoặc ACF Pro được khuyến cáo:
– Nâng cấp lên phiên bản 6.1.8 trở lên càng sớm càng tốt. Nếu không thể thực hiện ngay, hãy tắt plugin ACF cho đến khi có thể nâng cấp.
– Sử dụng tường lửa ứng dụng web (WAF) để chặn lưu lượng độc hại.
– Luôn cập nhật cài đặt WordPress với các bản vá an ninh mới nhất.
– Sử dụng mật khẩu mạnh và không chia sẻ với bất kỳ ai.
– Cẩn trọng khi truy cập các trang web và mở tệp.
– Nâng cao nhận thức về an ninh mạng.
Nguồn: Security Online