4 triệu trang web WordPress gặp nguy hiểm vì lỗi bảo mật này
Nhóm thông tin về mối đe dọa của Wordfence đã thông báo về lỗ hổng chèn mã chéo trang (XSS) trong plugin LiteSpeed Cache, một tiện ích bổ sung đã được cài đặt hơn 4 triệu website WordPress. Nếu khai thác thành công lỗ hổng bảo mật này, tin tặc có thể đưa các tập lệnh độc hại vào bằng mã ngắn.
LiteSpeed Cache là một plugin sử dụng bộ đệm và hỗ trợ tối ưu hóa cấp máy chủ để tăng tốc website WordPress. Phần bổ sung này cung cấp một mã ngắn (shortcode), khi được thêm vào WordPress sẽ lưu trữ các khối bằng công nghệ Edge Side.
Tuy nhiên việc triển khai shortcode của plugin không an toàn, có thể tùy ý chèn các tập lệnh và các trang này. Vì vậy, kẻ xấu có thể thực hiện các cuộc tấn công XSS. Khi được đưa vào trang hoặc bài đăng, mỗi khi người dùng truy cập tập lệnh sẽ thực thi.
Để khai thác được lỗ hổng này, tin tặc phải có tài khoản cộng tác viên. Nếu thành công, kẻ xấu có thể thao túng nội dung website, tấn công quản trị viên, đánh cắp thông tin nhạy cảm, chỉnh sửa tập tin hoặc chuyển hướng người truy cập đến các website độc hại.
Wordfence cho biết đã thông báo về lỗ hổng cho nhóm phát triển LiteSpeed Cache vào ngày 14.8 qua. Một bản vá đã được triển khai và phát hành lên WordPress vào ngày 10/10 để khắc phục hoàn toàn lỗi bảo mật này. Vì vậy, các quản trị viên của trang web dùng WordPress nên cập nhật phiên bản LiteSpeed Cache 5.7 ngay để tránh bị khai thác.
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...