Một lỗ hổng Stored Cross-Site Scripting (XSS) vừa được phát hiện trong plugin Yoast SEO của WordPress, một plugin phổ biến được sử dụng trên hơn 5 triệu trang web.
Lỗ hổng mang mã định danh CVE-2024-4984 mở ra khả năng cho tin tặc chèn các đoạn mã độc hại vào các trang web, có thể xâm phạm vào dữ liệu của người truy cập, điều hướng luồng truy cập, hoặc thậm chí chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Lỗ hổng XSS được phát hiện trong trường “display_name”, thường được sử dụng để hiển thị tên tác giả trên các bài đăng và trang blog. Do không có sự kiểm soát đầy đủ đối với dữ liệu đầu vào và đầu ra, kẻ tấn công có quyền truy cập như các cộng tác viên có thể lợi dụng lỗ hổng này để tiêm mã độc.
Các trang web WordPress chạy plugin Yoast SEO phiên bản 22.6 trở xuống đều gặp rủi ro. Một cuộc tấn công XSS thành công có thể dẫn đến việc đánh cắp thông tin nhạy cảm như thông tin đăng nhập hoặc dữ liệu tài chính; thay đổi giao diện hoặc nội dung của trang web. Đồng thời, kẻ tấn công có thể tạo ra các trang đăng nhập giả mạo hoặc cửa sổ bật lên để lừa người dùng tiết lộ thông tin cá nhân. Ngoài ra, các đoạn mã chèn có thể tải xuống phần mềm độc hại vào thiết bị của người truy cập.
Người dùng được khuyến khích cập nhật Yoast SEO lên phiên bản 22.7, xem xét lại các quyền của người dùng và hạn chế quyền truy cập chỉ cho những người có độ tin cậy.
Facebook: Trí Việt JSC
Nguồn: antoanthongtin.vn