WordPress phát hành bản cập nhật 6.4.2 để vá lỗi khẩn cấp lỗ hổng tấn công từ xa nghiêm trọng

www.tuoitre.vn -   06/12/2023 08:00:00 1011

WordPress đã phát hành phiên bản 6.4.2 với bản vá cho một lỗ hổng bảo mật nghiêm trọng có thể bị các tác nhân đe dọa khai thác bằng cách kết hợp nó với một lỗi khác để thực thi mã PHP tùy ý trên các trang web dễ bị tấn công.

WordPress phát hành bản cập nhật 6.4.2 để vá lỗi khẩn cấp lỗ hổng tấn công từ xa nghiêm trọng

WordPress cho biết: “Một lỗ hổng thực thi mã từ xa không thể khai thác trực tiếp trong lõi; tuy nhiên, nhóm bảo mật cảm thấy rằng có khả năng xảy ra mức độ nghiêm trọng cao khi kết hợp với một số plugin, đặc biệt là trong cài đặt nhiều trang”.

Theo công ty bảo mật WordPress Wordfence, vấn đề bắt nguồn từ lớp WP_HTML_Token được giới thiệu trong phiên bản 6.4 để cải thiện khả năng phân tích cú pháp HTML trong trình chỉnh sửa khối.

Một kẻ đe dọa có khả năng khai thác lỗ hổng chèn đối tượng PHP có trong bất kỳ plugin hoặc chủ đề nào khác để xâu chuỗi hai vấn đề nhằm thực thi mã tùy ý và giành quyền kiểm soát trang web được nhắm mục tiêu.

Wordfence đã lưu ý trước đó vào tháng 9 năm 2023: “Nếu chuỗi POP [lập trình hướng thuộc tính] xuất hiện thông qua một plugin hoặc chủ đề bổ sung được cài đặt trên hệ thống đích, thì nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã”. .

Trong một lời khuyên tương tự do Patchstack đưa ra, công ty cho biết một chuỗi khai thác đã có sẵn trên GitHub kể từ ngày 17 tháng 11 và được thêm vào dự án Chuỗi tiện ích chung PHP (PHPGGC). Người dùng nên kiểm tra trang web của mình theo cách thủ công để đảm bảo rằng trang web được cập nhật lên phiên bản mới nhất.

"Nếu bạn là nhà phát triển và bất kỳ dự án nào của bạn chứa các lệnh gọi hàm đến hàm unserialize, chúng tôi thực sự khuyên bạn nên hoán đổi hàm này bằng một hàm khác, chẳng hạn như mã hóa/giải mã JSON bằng cách sử dụng các hàm PHP json_encode và json_decode," Patchstack CTO Dave Jong nói.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 39
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 41
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 37
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 31
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 21
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ