Phát hiện lỗi nghiêm trọng trong Plugin WordPress với hàng triệu lượt cài đặt

www.tuoitre.vn -   28/01/2022 08:00:00 323

Một plugin WordPress với hơn một triệu lượt cài đặt đã được phát hiện có chứa một lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm phạm.

Phát hiện lỗi nghiêm trọng trong Plugin WordPress với hàng triệu lượt cài đặt

Plugin này chính là Essential Addons for Elementor, cung cấp cho chủ sở hữu trang web WordPress thư viện hơn 80 phần tử và tiện ích mở rộng để giúp thiết kế và tùy chỉnh các trang cũng như bài đăng.

"Lỗ hổng này cho phép bất kỳ người dùng nào, bất kể trạng thái xác thực hoặc ủy quyền của họ, thực hiện một cuộc tấn công bao gồm tệp cục bộ", Patchstack cho biết trong một báo cáo. "Cuộc tấn công này có thể được sử dụng để bao gồm các tệp cục bộ trên hệ thống tệp của trang web, chẳng hạn như / etc / passwd. Điều này cũng có thể được sử dụng để thực hiện RCE bằng cách bao gồm một tệp có mã PHP độc hại mà thông thường không thể thực thi được."

Lỗ hổng chỉ tồn tại nếu các widget như thư viện động và thư viện sản phẩm được sử dụng, sử dụng chức năng dễ bị tấn công, dẫn đến bao gồm tệp cục bộ - một kỹ thuật tấn công trong đó ứng dụng web bị lừa để lộ hoặc chạy các tệp tùy ý trên máy chủ web.

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của addon từ 5.0.4 trở xuống, và người có công phát hiện ra lỗ hổng là nhà nghiên cứu Wai Yan Myo Thet. Theo tiết lộ có trách nhiệm, lỗ hổng bảo mật cuối cùng đã được cắm vào phiên bản 5.0.5 được phát hành vào ngày 28 tháng 1 "sau một số bản vá không đủ."

Hương

TIN CÙNG CHUYÊN MỤC

5.4 triệu tài khoản Twitter bị tấn công ...

08/08/2022 08:00:00 35
Twitter hôm thứ Sáu đã tiết lộ rằng một lỗi zero-day hiện đã được vá đã được sử dụng để liên kết số ...

Đánh cắp dữ liệu, APT và ransomware: Mối...

05/08/2022 10:00:00 65
Khi thiệt hại do tấn công mạng gây ra cho các doanh nghiệp và quốc gia đã được phổ biến rộng rãi trê...

Hơn 3.200 ứng dụng điện thoại di động bị...

01/08/2022 08:00:00 42
Các nhà nghiên cứu bảo mật đã phát hiện ra danh sách 3.207 ứng dụng dành cho thiết bị di động đang đ...

Các giải pháp bảo mật dành cho doanh ngh...

29/07/2022 04:00:00 163
AV-TEST, tổ chức độc lập trong lĩnh vực bảo mật công nghệ thông tin, đã công nhận Kaspersky Endpoint...

Hàng tá ứng dụng Android trên cửa hàng G...

29/07/2022 08:00:00 166
Một chiến dịch độc hại đã tận dụng các ứng dụng nhỏ giọt của Android có vẻ vô hại trên Cửa hàng Goog...

Có hay không khả năng bị hack thông tin ...

29/07/2022 12:00:00 70
Cách duy nhất để bạn có thể thực sự an toàn là sử dụng tính năng bảo vệ chống virus zero-day cùng vớ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ