Người dùng WordPress của miniOrange's Malware Scanner và Web Application Firewall plugins đang được khuyến khích xóa chúng khỏi trang web của họ sau khi phát hiện ra một lỗ hổng bảo mật nghiêm trọng.
Lỗ hổng, được theo dõi là CVE-2024-2172, được đánh giá 9,8 trên tối đa 10 trên hệ thống tính điểm CVSS. Nó ảnh hưởng đến các phiên bản sau của hai plugin -
- Trình quét phần mềm độc hại (phiên bản <= 4.7.2)
- Tường lửa ứng dụng web (phiên bản <= 2.1.1)
Điều đáng chú ý là các plugin đã bị đóng cửa vĩnh viễn bởi những người bảo trì kể từ ngày 7 tháng 3 năm 2024. Trong khi Trình quét phần mềm độc hại có hơn 10.000 lượt cài đặt đang hoạt động, Tường lửa ứng dụng web có hơn 300 cài đặt đang hoạt động.
"Lỗ hổng này khiến kẻ tấn công chưa được xác thực có thể tự cấp đặc quyền quản trị bằng cách cập nhật mật khẩu người dùng", Wordfence báo cáo tuần trước.
Vấn đề là kết quả của việc kiểm tra khả năng bị thiếu trong hàm mo_wpns_init() cho phép kẻ tấn công chưa được xác thực tự ý cập nhật mật khẩu của bất kỳ người dùng nào và leo thang đặc quyền của họ lên mật khẩu của quản trị viên, có khả năng dẫn đến sự thỏa hiệp hoàn toàn của trang web.
"Một khi kẻ tấn công đã có được quyền truy cập của người dùng quản trị vào một trang web WordPress, chúng có thể thao túng bất cứ thứ gì trên trang web được nhắm mục tiêu như một quản trị viên bình thường", Wordfence nói.
"Điều này bao gồm khả năng tải lên các tệp plugin và chủ đề, có thể là các tệp zip độc hại có chứa cửa hậu và sửa đổi các bài đăng và trang có thể được tận dụng để chuyển hướng người dùng trang web đến các trang web độc hại khác hoặc tiêm nội dung spam."
Sự phát triển này diễn ra khi công ty bảo mật WordPress cảnh báo về một lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng cao tương tự trong plugin RegistrationMagic (CVE-2024-1991, điểm CVSS: 8.8) ảnh hưởng đến tất cả các phiên bản, bao gồm và trước 5.3.0.0.
Vấn đề, được giải quyết vào ngày 11 tháng 3 năm 2024, với việc phát hành phiên bản 5.3.1.0, cho phép kẻ tấn công được xác thực tự cấp đặc quyền quản trị bằng cách cập nhật vai trò người dùng. Plugin có hơn 10.000 lượt cài đặt đang hoạt động.
"Lỗ hổng này cho phép các tác nhân đe dọa được xác thực với quyền cấp thuê bao hoặc cao hơn nâng cao đặc quyền của họ lên quyền của quản trị viên trang web, điều này cuối cùng có thể dẫn đến thỏa hiệp trang web hoàn toàn", István Márton nói.