Lỗ hổng nghiêm trọng được tìm thấy trong plugin của Wordpress: Bản vá lỗ hổng đã có, cập nhật ngay

527
11-09-2020
Lỗ hổng nghiêm trọng được tìm thấy trong plugin của Wordpress: Bản vá lỗ hổng đã có, cập nhật ngay

TheoBizfly Cloud tìm hiểu các chuyên gia tại Wordfence đã phát hiện một lỗ hổng nghiêm trọng trong một plugin phổ biến của Wordpress. Plugin được cài đặt trên ít nhất 100.000 trang web từ nền tảng Wordpress, bị ảnh hưởng bởi lỗ hổng cross-site-scripting. Theo mô tả của công ty, plugin này được sử dụng để "tự động thay thế code và text từ các theme và các plugin khác bằng code và text từ trang bạn chọn trước khi trang được chuyển tới trình duyệt của người dùng". Lợi dụng lỗ hổng này, tin tặc đưa mã độc hại tấn công website và hệ thống. Tuy nhiên, đây không phải lần đầu Wordpress gặp sự cố về lỗ hổng bảo mật do plugin gây ra.

Sau phát hiện này, Wordfence đồng thời đưa ra tính năng bảo vệ tường lửa (gồm bản miễn phí và trả phí) và trình quét phần mềm độc hại để bảo vệ người dùng Wordpress. Quy trình thực tế diễn ra như sau:

________________

"Chức năng cốt lõi của hàm far_options_page trong plugin để thêm mới các quy tắc tìm kiếm và thay thế. Nhưng, chức năng đó không thể xác minh nonce, vì vậy không xác minh tính toàn vẹn của nguồn yêu cầu trong quá trình cập nhật các quy tắc, dẫn đến lỗ hổng Cross-Site Request Forgery… Kẻ tấn công có thể lừa chủ sở hữu trang web chỉnh sửa nội dung hoặc HTML bằng một nội dung mới hoặc mã độc hại. Sau đó, mã hoặc nội dung thay thế sẽ điều hướng người dùng đến trang chứa nội dung gốc."

________________

Lỗ hổng nghiêm trọng được tìm thấy trong plugin của Wordpress: Bản vá lỗ hổng đã có, cập nhật ngay - Ảnh 1.

Lỗ hổng nghiêm trọng trong một plugin phổ biến của Wordpress

Trên thang điểm của Common Vulnerability Scoring System (CVSS - tạm dịch Hệ thống chấm điểm lỗ hổng), lỗ hổng XSS này ở mức 8.8, Wordfence cho rằng cần xử lý càng sớm càng tốt. Và kết quả có ngay sau đó, nhà phát triển đã vá lỗ hổng cho bản cập nhật Real-Time Find and Replace 4.0.2 . Wordfence khuyến cáo quản trị trang web cài đặt bản cập nhật ngay lập tức, đặc biệt đối với những khách hàng không sử dụng gói Wordfence Premium. Wordfence Premium triển khai một số biện pháp bảo vệ XSS thông qua tường lửa.

Cập nhật trang web không mất quá nhiều thời gian của bạn đây. Hãy bắt đầu vá lỗ hổng ngay để website của bạn luôn được an toàn.

Tham khảo Techgenix.com

>> Có thể bạn quan tâm: Khi nào phải sử dụng CDN cho WordPress?

Bizfly Cloud là nhà cung cấp đa dịch vụ với chi phí thấp nhất thị trường trong lĩnh vực điện toán đám mây, được vận hành bởi VCCorp.

Bizfly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của Bizfly Cloud có thể truy cập tại đây.

DÙNG THỬ MIỄN PHÍ tại: https://manage.bizflycloud.vn/

SHARE