WordPress 5.8.3 vá một số lỗ hổng bảo mật Injection

0
0

WordPress 5.8.3 mới phát hành bản vá bảo mật để vá 4 lỗ hổng Injection (lỗ hổng về lọc các dữ liệu đầu vào).

Hai trong số các lỗ hổng này thuộc lỗ hổng cấy SQL trong đó một lỗi ảnh hưởng tới WP_Meta_Query (do Ben Bidner thuộc nhóm bảo mật Word Press phát hiện) và một lỗ hổng ảnh hưởng đến WP_Query (do ngocnb và khuyenn cua GiaoHangTietKiem JSC phát hiện).

Nhà nghiên cứu Simon Scannell của SonarSource đã báo cáo sự cố chèn đối tượng ảnh gây hưởng đến một số cài đặt multisite (một tính năng WordPress cho phép những người dùng tạo ra một mạng lưới các trang web trên một cài đặt WordPress đơn) cũng như lỗ hổng XSS (stored cross-site scripting - dạng tấn công mà hacker chèn trực tiếp các mã độc vào cơ sở dữ liệu của website). Ngoài ra, lỗ hổng XSS cũng được nhà nghiên cứu Karim El Ouerghemmi xác định.

 

Các lỗ hổng này ảnh hưởng đến các phiên bản WordPress từ 3.7 đến 5.8.

Với các trang web hỗ trợ cập nhật tự động có thể đã được cập nhật. Những với người dùng WordPress khác thì được khuyến nghị cập nhật thủ công từ bảng điều khiển Dashboard của họ.

Những trang web WordPress là mục tiêu mà các tác nhân độc hại nhắm tới, tuy nhiên trong hầu hết các trường hợp, chủ yếu chúng nhắm đến các themes (được các nhà thiết kế gọi là giao diện) và các ứng dụng mở rộng (plugin) được sử dụng rộng rãi có chứa lỗ hổng bảo mật.

Vào tháng 12/2021, nhóm tình báo về mối đe dọa của công ty bảo mật WordPress Defiant cảnh báo rằng họ đã phát hiện ra một chiến dịch lớn, trong đó 1,6 triệu trang web WordPress đã trở thành mục tiêu của 13,7 triệu nỗ lực tấn công đến từ 16.000 địa chỉ IP, tất cả chỉ trong khoảng thời gian 36 giờ. Mục tiêu của những kẻ tấn công là chiếm quyền kiểm soát các trang web có chứa lỗ hổng.

Mặc dù trong một số trường hợp, những kẻ tấn công nhắm mục tiêu vào các lỗ hổng zero-day, nhưng trong trường hợp này, chúng cố gắng khai thác những lỗ hổng đã biết ảnh hưởng đến 4 plugin, bao gồm các lỗ hổng được vá cách đây vài tháng và những lỗ hổng đã được xác định chỉ vài ngày trước khi các cuộc tấn công bắt đầu.

Mới đây, một sự cố lớn khác liên quan đến WordPress được đưa ra ánh sáng liên quan đến công ty đăng ký tên miền và lưu trữ web khổng lồ GoDaddy đã tiết lộ một vi phạm dữ liệu ảnh hưởng đến 1,2 triệu người dùng Managed WordPress hồi tháng 11/2021.

Theo ictvietnam.vn

https://ictvietnam.vn/wordpress-583-va-mot-so-lo-hong-bao-mat-injection-20220111161357987.htm


Ý kiến bạn đọc


Vì sao hàng trăm người mắc bẫy "việc nhẹ, lương cao" ở Campuchia?

Trong báo cáo mới đây của Bộ Công an, 6 tháng đầu năm 2022, lực lượng chức năng Việt Nam đã phối hợp với lực lượng chức năng Campuchia giải cứu hơn 250 trường hợp bị lừa sang lao động trái phép tại Campuchia.

Nga tuyên bố phá hủy hệ thống vũ khí HIMARS của Mỹ ở Ukraine

(VnMedia) - Bộ Quốc phòng Nga hôm qua (6/7) tuyên bố các lực lượng của họ ở chiến trường vùng Donbass đã phá hủy hai Hệ thống Pháo Phản lực Cơ động Cao M142 (HIMARS) mà Mỹ cung cấp cho Ukraine.

Đề thi và gợi ý đáp án môn Ngữ văn kỳ thi tốt nghiệp THPT 2022

(VnMedia)- Sáng 7/7, thí sinh hoàn thành môn thi đầu tiên trong kỳ thi tốt nghiệp THPT 2022 - Ngữ văn. Câu làm văn rơi vào bài "Chiếc thuyền ngoài xa" của nhà văn Nguyễn Minh Châu.

Bộ trưởng Nguyễn Kim Sơn động viên thí sinh, giáo viên dự kỳ thi tốt nghiệp THPT

(VnMedia)- Sáng 7/7, trước buổi thi môn Ngữ Văn của Kỳ thi tốt nghiệp THPT năm 2022, Bộ trưởng Nguyễn Kim Sơn đã tới kiểm tra Điểm thi Trường THPT Đặng Huy Trứ, huyện Hương Trà, tỉnh Thừa Thiên Huế và động viên học sinh, giáo viên ở Điểm thi này.

Hình ảnh thí sinh thi tốt nghiệp THPT 2022 bước vào ngày thi đầu tiên

(VnMedia) - Ngày 7/7, gần 1 triệu sĩ tử sẽ dự thi 2 môn Ngữ văn và Toán trong ngày thi đầu tiên của kỳ thi tốt nghiệp THPT năm 2022.