Plugin tối ưu cho WordPress WP Fastest Cache được các nhà nghiên cứu bảo mật JetPack phát hiện ra một số lỗ hổng có thể cho phép hacker chiếm hoàn toàn quản trị viên. Lỗ hỏng bảo mật này ảnh hưởng hơn một triệu website trên toàn thế giới.
Mô tả các lỗ hổng của plugin WP Fastest Cache
WP Fastest Cache là một plugin WordPress được sử dụng bởi hơn một triệu trang web WordPress. Plugin tạo một phiên bản HTML tĩnh của trang web.
Lỗ hỏng đã được phát hiện:
- Authenticated SQL Injection
- Stored XSS via Cross-Site Request Forgery
Authenticated SQL Injection được xác thực cho phép người dùng đã đăng nhập truy cập thông tin cấp quản trị viên thông qua cơ sở dữ liệu.
Lỗ hổng SQL Injection là một cuộc tấn công nhắm vào cơ sở dữ liệu, nơi lưu trữ các phần tử của trang web, bao gồm cả mật khẩu.
Một cuộc tấn công SQL Injection thành công có thể dẫn đến việc kiểm soát hoàn toàn trang web.
Bản tin bảo mật Jetpack đã mô tả mức độ nghiêm trọng của lỗ hổng bảo mật:
“Nếu bị khai thác, lỗi SQL Injection có thể cho những kẻ tấn công quyền truy cập vào thông tin đặc quyền từ cơ sở dữ liệu của trang web bị ảnh hưởng (ví dụ: tên người dùng và mật khẩu được băm).”.
Các lỗ hổng XSS (cross-site scripting) là các lỗ hổng khá phổ biến do lỗi khi sửa dữ liệu đầu vào của trang web. Bất cứ nơi nào người dùng có thể chèn một cái gì đó vào trang web, chẳng hạn như biểu mẫu liên hệ, nếu đầu vào không được xóa, họ có thể bị XSS tấn công.
Sanitization có nghĩa là hạn chế bất kỳ thứ gì có thể được tải lên đầu vào dự kiến, chẳng hạn như văn bản chứ không phải tập lệnh hoặc lệnh. Đầu vào bị lỗi cho phép kẻ tấn công đưa các tập lệnh độc hại, sau đó có thể được sử dụng để tấn công người dùng truy cập trang web với tư cách là quản trị viên và tải xuống các tệp độc hại vào trình duyệt của họ. Hành động như tải hoặc chặn thông tin đăng nhập của họ.
Ứng dụng trên nhiều trang web là hành vi giả mạo khi kẻ tấn công đánh lừa người dùng, chẳng hạn như quản trị viên đăng nhập, truy cập trang web và thực hiện các hành động khác nhau.
JetPack khuyến nghị người dùng nên nâng cấp plugin của họ lên ít nhất phiên bản 0.95 của WP Fastest Cache.
Phiên bản 0.95 của WP Fastest Cache được phát hành vào ngày 14 tháng 10 năm 2021.
Theo: searchenginejournal
Tiến Dũng Đào
Kẻ đam mê công nghệ, thích viết và chia sẻ những thứ "tào lao" trên www.thuthuat.vip :)
Yêu thích phượt, võ thuật, blogging, code web, SEO, MMO ...
Một số dịch vụ mà mình hỗ trợ tại tại đây
