Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong plugin Social Login and Registe của miniOrange dành cho WordPress có thể cho phép kể tấn công đăng nhập và đánh cắp thông tin tài khoản.
Lỗ hổng có mã định danh là CVE-2023-2982 (điểm CVSS: 9.8), bỏ qua xác thực ảnh hưởng đến tất cả các phiên bản của plugin, bao gồm các phiên bản trước 7.6.4. Lỗ hổng đã được vá vào ngày 14 tháng 6 năm 2023, với việc phát hành phiên bản 7.6.5 sau khi được tiết lộ vào ngày 2 tháng 6 năm 2023.
Nhà nghiên cứu István Márton của Wordfence cho biết ” Lỗ hổng này khiến kẻ tấn công chưa được xác thực có thể truy cập vào bất kỳ tài khoản nào trên một trang web bao gồm các tài khoản được sử dụng để quản lý trang web”
Vấn đề bắt nguồn từ thực tế là khóa mã hóa được sử dụng để bảo mật thông tin trong quá trình đăng nhập bằng tài khoản mạng xã hội được mã hóa cứng, do đó dẫn đến tình huống kẻ tấn công có thể tạo yêu cầu hợp lệ với địa chỉ email được mã hóa chính xác được sử dụng nhận dạng người dùng .
Nếu tài khoản thuộc về quản trị viên trang WordPress, nó có thể dẫn đến sự xâm phạm hoàn toàn. Plugin này hiện được sử dụng trên hơn 30.000 trang web.
Trước những tác động nghiêm trọng có thể xảy ra, tất cả người dùng của Jetpack được khuyến khích cập nhật phiên bản 12.1.1 trở lên càng sớm càng tốt để đảm bảo tính bảo mật liên tục cho các trang web WordPress. Bên cạnh đó, Automattic đã hợp tác với Nhóm bảo mật WordPress.org để phát hành các phiên bản vá lỗi.
Nhằm đảm bảo rằng người dùng có đủ thời gian để cập nhật, Automattic sẽ công khai mã khai thác (PoC) vào ngày 4 tháng 7 năm 2023.
