Lỗ hổng XSS trong plugin WordPress có hơn 2 triệu lượt cài đặt 

Một lỗ hổng Cross-Site Scripting (XSS) đã được phát hiện trong plugin Trường tùy chỉnh nâng cao (Advanced Custom Fields Pro) WordPress. 

Plugin Advanced Custom Fields Pro là một trong những plugin trường tùy chỉnh được sử dụng rộng rãi nhất trong WordPress, giúp đơn giản hóa việc xây dựng trang web với nhiều trường có sẵn. 

Lỗ hổng được theo dõi là CVE-2023-30777 (CVSS: 7,1) có thể bị khai thác để chèn các tập lệnh có hại như chuyển hướng, quảng cáo và các payload HTML khác vào một trang web.  

CVE-2023-30777 cho phép bất kỳ người dùng không được xác thực nào đánh cắp thông tin nhạy cảm, trong trường hợp này là leo thang đặc quyền trên trang web WordPress bằng cách lừa người dùng truy cập vào đường dẫn URL được tạo đặc biệt.  

Lỗ hổng này còn có thể được kích hoạt trên cài đặt hoặc cấu hình mặc định của Advanced Custom Fields Pro, mặc dù chỉ những người dùng đã đăng nhập có quyền truy cập vào plugin mới có thể làm như vậy. 

Người dùng được khuyến nghị cập nhật phiên bản 6.1.6 để đảm bảo an toàn. 

Nguồn: Thehackernews.com, Securityonline.com