4 triệu trang web WordPress gặp nguy hiểm vì lỗi bảo mật này

www.tuoitre.vn -   23/10/2023 12:00:00 123

Nhóm thông tin về mối đe dọa của Wordfence đã thông báo về lỗ hổng chèn mã chéo trang (XSS) trong plugin LiteSpeed Cache, một tiện ích bổ sung đã được cài đặt hơn 4 triệu website WordPress. Nếu khai thác thành công lỗ hổng bảo mật này, tin tặc có thể đưa các tập lệnh độc hại vào bằng mã ngắn.

4 triệu trang web WordPress gặp nguy hiểm vì lỗi bảo mật này

LiteSpeed Cache là một plugin sử dụng bộ đệm và hỗ trợ tối ưu hóa cấp máy chủ để tăng tốc website WordPress. Phần bổ sung này cung cấp một mã ngắn (shortcode), khi được thêm vào WordPress sẽ lưu trữ các khối bằng công nghệ Edge Side.

Tuy nhiên việc triển khai shortcode của plugin không an toàn, có thể tùy ý chèn các tập lệnh và các trang này. Vì vậy, kẻ xấu có thể thực hiện các cuộc tấn công XSS. Khi được đưa vào trang hoặc bài đăng, mỗi khi người dùng truy cập tập lệnh sẽ thực thi.

Để khai thác được lỗ hổng này, tin tặc phải có tài khoản cộng tác viên. Nếu thành công, kẻ xấu có thể thao túng nội dung website, tấn công quản trị viên, đánh cắp thông tin nhạy cảm, chỉnh sửa tập tin hoặc chuyển hướng người truy cập đến các website độc hại.

Wordfence cho biết đã thông báo về lỗ hổng cho nhóm phát triển LiteSpeed Cache vào ngày 14.8 qua. Một bản vá đã được triển khai và phát hành lên WordPress vào ngày 10/10 để khắc phục hoàn toàn lỗi bảo mật này. Vì vậy, các quản trị viên của trang web dùng WordPress nên cập nhật phiên bản LiteSpeed Cache 5.7 ngay để tránh bị khai thác.

 

 

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 153
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 73
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 222
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 218
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 141
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ