Hai lỗ hổng bảo mật nghiêm trọng trong plugin Spam protection, Anti-Spam, và FireWall của WordPress đang khiến cộng đồng lo ngại khi chúng có thể cho phép kẻ tấn công không xác thực cài đặt và kích hoạt các plugin độc hại trên các trang web dễ bị tấn công và có thể dẫn tới việc thực thi mã từ xa. Các lỗ hổng này, được theo dõi với mã CVE-2024-10542 và CVE-2024-10781, đã được các chuyên gia xác định với mức điểm CVSS là 9.8 trên tối đa 10.0 – một mức độ nguy hiểm cực kỳ cao. Chúng đã được khắc phục trong các phiên bản plugin 6.44 và 6.45 phát hành trong tháng này.
Plugin của CleanTalk, nổi tiếng với việc cài đặt trên hơn 200,000 trang WordPress, được quảng cáo là “plugin chống spam đa năng” có khả năng chặn spam trong bình luận, đăng ký, khảo sát và nhiều hơn nữa. Theo một cảnh báo từ Wordfence, cả hai lỗ hổng đều liên quan đến vấn đề bỏ qua ủy quyền, có thể cho phép kẻ tấn công cài đặt và kích hoạt các plugin bất kỳ. Việc này có thể mở đường cho thực thi mã từ xa nếu plugin được kích hoạt có nhược điểm riêng.
Lỗ hổng CVE-2024-10781 liên quan đến việc kiểm tra giá trị rỗng “api_key” trong hàm “perform” ở tất cả các phiên bản cho tới 6.44, có thể dẫn tới việc cài đặt plugin trái phép, theo nhận định của chuyên gia bảo mật István Márton. Mặt khác, CVE-2024-10542 bắt nguồn từ việc bỏ qua ủy quyền qua giả mạo DNS ngược trong hàm checkWithoutToken(). Dù bằng phương pháp bỏ qua nào, nếu khai thác thành công, kẻ tấn công có thể cài đặt, kích hoạt, hủy kích hoạt, hoặc thậm chí gỡ bỏ plugin.
Các người dùng của plugin này đang được khuyến cáo đảm bảo rằng website của họ được cập nhật lên phiên bản vá mới nhất để bảo vệ chống lại các mối đe dọa tiềm ẩn. Tình hình càng trở nên đáng lo ngại hơn khi gần đây Sucuri đã cảnh báo về nhiều chiến dịch tận dụng các trang WordPress bị xâm nhập để tiêm mã độc, chuyển hướng người truy cập đến các trang khác qua quảng cáo lừa đảo, thu thập thông tin đăng nhập, cũng như phát tán mã độc nhằm chiếm đoạt mật khẩu quản trị viên, chuyển hướng đến các trang lừa đảo VexTrio Viper, và thực thi mã PHP trên máy chủ.
Trong bối cảnh các mối nguy cơ ngày càng gia tăng, bảo vệ tổ chức khỏi rủi ro nhờ AI với các kiến thức chuyên sâu về bảo mật và đổi mới trong phát triển ứng dụng là điều cần thiết. Khám phá các chiến lược PAS hiệu quả để bảo vệ các tài khoản đặc quyền, giảm bề mặt tấn công và vượt qua các mối đe dọa mạng. Cập nhật các tin tức mới nhất, những kiến thức chuyên sâu và tài nguyên độc quyền từ những nhà lãnh đạo trong ngành – tất cả đều miễn phí.