Các nhà nghiên cứu bảo mật cho biết hàng nghìn trang web chạy WordPress vẫn chưa được vá lỗi bảo mật nghiêm trọng trong một plugin được sử dụng rộng rãi đang bị khai thác tích cực trong các cuộc tấn công cho phép thực thi mã độc hại không được xác thực.
Lỗ hổng, được theo dõi như CVE-2024-11972, được tìm thấy trong Bạn đồng hành Hunk, một plugin chạy trên 10.000 trang web sử dụng hệ thống quản lý nội dung WordPress. Lỗ hổng này có mức độ nghiêm trọng là 9,8/10, đã được vá vào đầu tuần này. Vào thời điểm bài đăng này được phát trực tiếp trên Ars, số liệu được cung cấp trên trang Hunk Companion chỉ ra rằng chưa đến 12% người dùng đã cài đặt bản vá, nghĩa là gần 9.000 trang web có thể bị nhắm mục tiêu tiếp theo.
Mối đe dọa đáng kể, nhiều mặt
“Lỗ hổng này thể hiện mối đe dọa đáng kể và nhiều mặt, nhắm mục tiêu vào các trang web sử dụng cả chủ đề ThemeHunk và plugin Hunk Companion,” Daniel Rodriguez, nhà nghiên cứu của công ty bảo mật WordPress WP Scan, viết. “Với hơn 10.000 lượt cài đặt đang hoạt động, điều này đã khiến hàng nghìn trang web gặp phải các cuộc tấn công ẩn danh, không được xác thực có khả năng ảnh hưởng nghiêm trọng đến tính toàn vẹn của chúng.”
Rodriquez cho biết WP Scan đã phát hiện ra lỗ hổng trong khi phân tích sự thỏa hiệp của một trang web của khách hàng. Công ty phát hiện ra rằng vectơ ban đầu là CVE-2024-11972. Việc khai thác cho phép các tin tặc đằng sau cuộc tấn công khiến các trang web dễ bị tấn công tự động điều hướng đến wordpress.org và tải xuống Bảng điều khiển truy vấn WP, một plugin đã không được cập nhật trong nhiều năm.
.jpg)
.jpg)
