- Hơn 3.300 trang web WordPress bị nhiễm mã độc do khai thác lỗ hổng CVE-2023-6000 trong plugin Popup Builder phiên bản 4.2.3 trở xuống.
- Lỗ hổng cross-site scripting (XSS) này được công bố từ tháng 11/2023, nhưng nhiều quản trị web chưa kịp vá.
- Mã độc được chèn vào các phần JavaScript hoặc CSS tùy chỉnh trong giao diện quản trị WordPress, lưu trong bảng cơ sở dữ liệu 'wp_postmeta'.
- Mã độc hoạt động như các trình xử lý sự kiện cho plugin Popup Builder, thực thi khi popup mở hoặc đóng.
- Chức năng chính là chuyển hướng người truy cập đến các trang lừa đảo, phát tán malware. Mã độc lấy đoạn mã từ nguồn bên ngoài, chèn vào phần head của trang web.
- Các cuộc tấn công xuất phát từ tên miền "ttincoming.traveltraffic[.]cc" và "host.cloudsonicwave[.]com".
- Ít nhất 80.000 web đang dùng Popup Builder 4.1 trở xuống, là mục tiêu tấn công tiềm năng.
- Để xử lý, cần xóa các mục độc hại trong phần tùy chỉnh của Popup Builder, quét tìm backdoor ẩn để tránh tái nhiễm.
📌 Hơn 3.300 web WordPress bị nhiễm mã độc do khai thác lỗ hổng XSS trong plugin Popup Builder phiên bản cũ. Hacker chèn mã vào phần tùy chỉnh, chuyển hướng người dùng đến web độc hại. 80.000 web đang gặp nguy cơ. Cần cập nhật plugin, quét sạch mã độc và backdoor để phòng tránh.
https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-flaw-to-infect-3-300-sites-with-malware/