Theo The Hacker New, hai plugin cho WordPress là Malware Scanner và Web Application Firewall của miniOrage đang gặp lỗi bảo mật nghiêm trọng là CVE-2024-2172 được phát hiện bởi Stiofan, có số điểm lỗi nghiêm trọng là 9,8 trên thang điểm 10 của hệ thống chấm điểm hỗ hổng bảo mật CVSS.

Lỗi gây ảnh hưởng trên diện rộng vì dù nhà phát triển đã gỡ khỏi kho ứng dụng của WordPress vào ngày 7.3.2024, chúng cũng có thể gây ảnh hưởng vì Malware Scanner đã được ghi nhận lượt cài đặt và hoạt động lên đến 10.000 website, trong khi với Web Application Firewall là 300.

Wordfence cho biết lỗ hổng này là kết quả của việc thiếu kiểm tra trong mã lệnh của plugin, cho phép kẻ tấn công không cần xác thực có thể tự ý cập nhật mật khẩu bất kỳ người dùng nào và nâng cấp đặc quyền lên quản trị viên, có khả năng dẫn đến sự xâm phạm hoàn toàn website.

Khi có quyền quản trị, tin tặc dễ dàng tải thêm các plugin, các tập tin zip độc hại chứa cửa sau (backdoor) và sửa đổi các bài đăng trên trang web để chuyển hướng người dùng đến các website độc hại khác.

Trước đó cũng có một plugin tương tự là RegistrationMagic được báo cáo với mã lỗi CVE-2024-1991 và điểm CVSS 8.8, đây cũng là một lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng cao. Plugin này cũng đã được tải và cài đặt hơn 10.000 lần.

WordPress là hệ thống quản lý nội dung (CMS) mã nguồn mở nổi tiếng, được sử dụng rộng rãi trên thế giới. Sự dễ dàng trong cài đặt, đăng tải và quản lý các nội dung trên nền tảng CMS này giúp WordPress trở thành nền tảng lý tưởng cho các loại trang web như cửa hàng trực tuyến, cổng thông tin, diễn đàn thảo luận... Theo w3techs, nền tảng CMS này hiện có đến 43,1% website trên thế giới lựa chọn sử dụng.