Các nhà nghiên cứu bảo mật vừa tiết lộ một lỗ hổng mới ảnh hưởng đến ba plugin WordPress khác nhau, gây ra nguy cơ bảo mật cho 84.000 trang web. Khi khai thác lỗ hổng này, hacker có thể chiếm quyền điều khiển các trang web bị ảnh hưởng.
"Lỗ hổng này cho phép hacker cập nhật tùy ý các tùy chọn trang trên các trang web dễ bị tấn công. Hacker có thể làm điều này nếu chúng lừa được quản trị viên của trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một đường link", công ty bảo mật Wordfence chuyên về WordPress chia sẻ trong một báo cáo mới công bố hồi tuần trước.
Lỗ hổng WordPress được phân loại là giả mạo cross-site (CSRF) và được theo dõi dưới mã CVE-2022-0215 với mức nguy hiểm 8.8 theo thang CVSS. Nó ảnh hưởng tới ba plugin được duy trì bởi Xootix:
- Login/Signup Popup (Inline Form + Woocommerce)
- Side Cart Woocommerce (Ajax)
- Waitlist Woocommerce (Back in stock notifier)
CSRF còn được gọi là tấn công bằng một cú click chuột hoặc session riding, xảy ra khi một người dùng đã xác thực bị kẻ tấn công lừa gửi một yêu cầu web được chế tạo đặc biệt. Nếu nạn nhân là quản trị viên, CSRF giúp hạc xâm phạm toàn bộ ứng dụng web.
Đặc biệt hơn, lỗ hổng này bắt nguồn từ việc thiếu xác thực khi xử lý các yêu cầu AJAX, cho phép kẻ tấn công cập nhật tùy chọn "users_can_register" (tức là ai cũng có thể đăng ký) trên một trang web sang true và chỉnh cài đặt "default_role" (cai trò mặc định của người dùng đăng ký trang web) thành quản trị viên với toàn quyền kiểm soát.
Login/Signup Popup được cài trên hơn 20.000 trang web trong khi Side Cart Woocommerce và Waitlist Woocommerce được cài trên 4.000 và 60.000 trang tương ứng.
Lỗ hổng được Wordfender báo cáo vào tháng 11/2021 và đã được khắc phục trên Login/Signup Popup phiên bản 2.3, Side Cart Woocommerce phiên bản 2.1 và Waitlist Woocommerce phiên bản 2.5.2.
Chỉ một tháng trước, hacker đã khai thác điểm yếu trong 4 plugin và 15 theme Epsilon Framework để tấn công 1,6 triệu trang web WordPress. Đây chỉ là một phần trong chiến dịch quy mô lớn bắt nguồn từ 16.000 địa chỉ IP.