Một lỗ hổng nghiêm trọng vừa được phát hiện trong plugin JetElements của Elementor, cho phép kẻ tấn công thực thi mã tùy ý trên các website WordPress. Lỗ hổng này được đặt tên CVE-2023-39157 và có điểm CVSS là 9.0, cho thấy mức độ nguy hiểm cực kỳ cao.
JetElements là một plugin mở rộng phổ biến của Elementor, cung cấp hàng loạt block và widget để xây dựng website WordPress. Với hàng trăm nghìn lượt tải về, JetElements được sử dụng rộng rãi trên nhiều website WordPress.
Theo các chuyên gia bảo mật, lỗ hổng nằm ở hàm render_meta của JetElements. Lỗ hổng cho phép đăng nhập với quyền contributor trở lên để chèn đoạn mã PHP độc hại vào trang. Từ đó, hacker có thể kiểm soát hoàn toàn.
Mức độ lây lan của plugin JetElements khiến lỗ hổng trở nên cực kỳ nguy hiểm. Bất kỳ website WordPress nào sử dụng plugin này đều có nguy cơ bị tấn công. Các chuyên gia khuyến nghị người dùng nên cập nhật phiên bản mới nhất của JetElements để vá lỗ hổng khẩn cấp.
Đây không phải lần đầu JetElements bị phát hiện lỗ hổng bảo mật. Trước đó vào tháng 6/2022, một lỗ hổng tương tự cũng đã được tìm thấy trong plugin này. Điều này cho thấy các plugin WordPress cần được kiểm tra và vá lỗ hổng thường xuyên để đảm bảo an toàn cho người dùng.
Hiện lỗ hổng CVE-2023-39157 đã được xử lý trong JetElements for Elementor phiên bản 2.6.11. Người dùng nên cập nhật phiên bản mới nhất của plugin càng sớm càng tốt, đồng thời dùng các plugin bảo mật dành cho WordPress để quét tìm lỗi trên website, triển khai mật khẩu mạnh và xác thực hai yếu tố, cũng như sao lưu thường xuyên
