WordPress phát hành bản cập nhật 6.4.2 để vá lỗi khẩn cấp lỗ hổng tấn công từ xa nghiêm trọng
WordPress đã phát hành phiên bản 6.4.2 với bản vá cho một lỗ hổng bảo mật nghiêm trọng có thể bị các tác nhân đe dọa khai thác bằng cách kết hợp nó với một lỗi khác để thực thi mã PHP tùy ý trên các trang web dễ bị tấn công.
WordPress cho biết: “Một lỗ hổng thực thi mã từ xa không thể khai thác trực tiếp trong lõi; tuy nhiên, nhóm bảo mật cảm thấy rằng có khả năng xảy ra mức độ nghiêm trọng cao khi kết hợp với một số plugin, đặc biệt là trong cài đặt nhiều trang”.
Theo công ty bảo mật WordPress Wordfence, vấn đề bắt nguồn từ lớp WP_HTML_Token được giới thiệu trong phiên bản 6.4 để cải thiện khả năng phân tích cú pháp HTML trong trình chỉnh sửa khối.
Một kẻ đe dọa có khả năng khai thác lỗ hổng chèn đối tượng PHP có trong bất kỳ plugin hoặc chủ đề nào khác để xâu chuỗi hai vấn đề nhằm thực thi mã tùy ý và giành quyền kiểm soát trang web được nhắm mục tiêu.
Wordfence đã lưu ý trước đó vào tháng 9 năm 2023: “Nếu chuỗi POP [lập trình hướng thuộc tính] xuất hiện thông qua một plugin hoặc chủ đề bổ sung được cài đặt trên hệ thống đích, thì nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã”. .
Trong một lời khuyên tương tự do Patchstack đưa ra, công ty cho biết một chuỗi khai thác đã có sẵn trên GitHub kể từ ngày 17 tháng 11 và được thêm vào dự án Chuỗi tiện ích chung PHP (PHPGGC). Người dùng nên kiểm tra trang web của mình theo cách thủ công để đảm bảo rằng trang web được cập nhật lên phiên bản mới nhất.
"Nếu bạn là nhà phát triển và bất kỳ dự án nào của bạn chứa các lệnh gọi hàm đến hàm unserialize, chúng tôi thực sự khuyên bạn nên hoán đổi hàm này bằng một hàm khác, chẳng hạn như mã hóa/giải mã JSON bằng cách sử dụng các hàm PHP json_encode và json_decode," Patchstack CTO Dave Jong nói.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...