Một cảnh báo an ninh của Patchstack cho biết, Automatic – một plugin phổ biến để tự động nhập nội dung trên các trang web WordPress, chứa hai lỗ hổng nguy hiểm (CVE-2024-27956 và CVE-2024-27954). Plugin này có hơn 40.000 lượt cài đặt đang hoạt động.
Lỗ hổng đầu tiên CVE-2024-27956 (CVSS 9,9), cho phép thực thi SQL tùy ý, có thể dẫn đến đánh cắp dữ liệu cùng các hành vi độc hại khác. Vấn đề đã được giải quyết trong phiên bản 3.92.1 của plugin.
Lỗ hổng thứ hai, CVE-2024-27954 (điểm CVSS 9,3), cho phép tải xuống tệp tùy ý và SSRF. Vấn đề cũng đã được vá trong phiên bản 3.92.1.
Người dùng plugin được khuyến cáo cập nhật nhanh chóng để đảm bảo an toàn.
Nguồn: Security Online