CVE-2025-24752 là một lỗ hổng XSS phản chiếu nghiêm trọng ảnh hưởng đến plugin Essential Addons for Elementor trên WordPress. Dưới đây là các chi tiết chính về lỗ hổng này:
– **Loại lỗ hổng**: Lỗ hổng XSS phản chiếu.
– **Mã CVE**: CVE-2025-24752.
– **Điểm CVSS**: 7.1, cho thấy đây là một lỗ hổng có nguy cơ cao.
– **Plugin bị ảnh hưởng**: Essential Addons for Elementor, là một gói mở rộng được sử dụng rộng rãi cho trình tạo trang Elementor với hơn 2 triệu lượt cài đặt đang hoạt động.
– **Nguyên nhân**: Lỗ hổng này phát sinh từ việc không xử lý đúng cách tham số truy vấn ‘popup-selector’ trong tệp `src/js/view/general.js` của plugin. Cụ thể, plugin này đã không kiểm tra và xử lý tham số `popup-selector`, cho phép mã độc được chèn vào trang.
– **Tác động**: Nếu bị khai thác, lỗ hổng này có thể dẫn đến những hậu quả nghiêm trọng như đánh cắp phiên, chuyển hướng lừa đảo, hoặc truy cập không được phép vào các trang web bị ảnh hưởng.
– **Bản vá**: Lỗ hổng này đã được sửa chữa trong phiên bản 6.0.15 của plugin Essential Addons for Elementor, trong đó giới thiệu việc xác thực nghiêm ngặt cho biến ‘popup-selector’, chỉ cho phép các ký tự chữ và số, cùng một nhóm các ký tự an toàn.
Khuyến cáo mạnh mẽ rằng tất cả người dùng của Essential Addons for Elementor nên cập nhật lên phiên bản 6.0.15 hoặc mới hơn ngay lập tức để bảo vệ các trang web và người dùng khỏi các cuộc tấn công tiềm năng.
