Tin tặc khai thác lỗi LiteSpeed Cache để giành toàn quyền kiểm soát các trang web WordPress
Một lỗ hổng nghiêm trọng có tác động đến plugin bộ đệm Litespeed cho WordPress đang được các tác nhân đe dọa tích cực khai thác để tạo tài khoản quản trị viên lừa đảo trên các trang web nhạy cảm.
Các phát hiện đến từ WPSCAN, cho biết tính dễ bị tổn thương (CVE-2023-40000, điểm CVSS: 8.3) đã được tận dụng để thiết lập người dùng quản trị không có thật với tên WPSUPP-người dùng và WP-Configuser.
CVE-2023-40000, được Patchstack tiết lộ vào tháng 2 năm 2024, là một lỗ hổng kịch bản chéo (XSS) được lưu trữ có thể cho phép người dùng không được chứng minh nâng cao đặc quyền bằng các yêu cầu HTTP được chế tạo đặc biệt.
Lỗ hổng được giải quyết vào tháng 10 năm 2023 tại phiên bản 5.7.0.1. Điều đáng chú ý là phiên bản mới nhất của plugin là 6.2.0.1, được phát hành vào ngày 25 tháng 4 năm 2024.
Litespeed Cache có hơn 5 triệu cài đặt hoạt động, với số liệu thống kê cho thấy các phiên bản khác với 5,7, 6.0, 6.1 và 6.2 vẫn hoạt động trên 16,8% của tất cả các trang web.
Theo công ty thuộc sở hữu của Automattic, phần mềm độc hại thường đưa vào mã JavaScript WordPress được lưu trữ trên các tên miền như dns.startservicefound [.] COM và api.StartServiceFounds [.] COM.
Tạo tài khoản quản trị viên trên các trang web WordPress có thể gây ra hậu quả nghiêm trọng, vì nó cho phép diễn viên đe dọa giành quyền kiểm soát hoàn toàn đối với trang web và thực hiện các hành động tùy ý, từ việc tiêm phần mềm độc hại đến cài đặt các plugin độc hại.
Để giảm thiểu các mối đe dọa tiềm ẩn, người dùng được khuyên nên áp dụng các bản sửa lỗi mới nhất, xem lại tất cả các plugin đã cài đặt và xóa bất kỳ tệp và thư mục đáng ngờ nào.
Hương
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...