bgware

Lỗ hổng bảo mật ở mức độ nghiêm trọng cao trong 3 plugin WordPress ảnh hưởng đến 84.000 trang web

Các nhà nghiên cứu đã tiết lộ một lỗ hổng bảo mật ảnh hưởng đến ba plugin WordPress, ảnh hưởng hơn 84.000 trang web và có thể bị lợi dụng để chiếm quyền điều khiển các trang web.

"Lỗ hổng này khiến kẻ tấn công có thể cập nhật các tùy chọn trang web tùy ý trên một trang web dễ bị tấn công, miễn là chúng có thể lừa quản trị viên của trang web thực hiện một hành động, chẳng hạn như nhấp vào liên kết"

Công ty bảo mật WordPress Wordfence cho biết trong một báo cáo được công bố vào tuần trước.

Được theo dõi là CVE-2022-0215, lỗ hổng giả mạo yêu cầu trên nhiều trang web (CSRF) được đánh giá 8,8 trên thang điểm CVSS và ảnh hưởng đến ba plugin được duy trì bởi Xootix 

Giả mạo yêu cầu trên nhiều trang web, còn được gọi là tấn công bằng một cú nhấp chuột hoặc chạy phiên, xảy ra khi một người dùng cuối đã xác thực bị kẻ tấn công lừa gửi một yêu cầu web được chế tạo đặc biệt. "Nếu nạn nhân là tài khoản quản trị, CSRF có thể xâm phạm toàn bộ ứng dụng web", OWASP lưu ý trong tài liệu của mình.

Đặc biệt, lỗ hổng có nguồn gốc từ việc thiếu xác thực khi xử lý các AJAX requests, cho phép kẻ tấn công update tùy chọn "users_can_register" (tức là ai cũng có thể đăng ký) trên một trang web thành true và đặt cài đặt "default_role" (tức là, vai trò mặc định của người dùng đăng ký tại blog) đối với quản trị viên, cấp toàn quyền kiểm soát.

Đăng nhập / Đăng ký Popup được cài đặt trên 20.000 trang web, trong khi Side Cart Woocommerce và Waitlist Woocommerce đã được cài đặt trên hơn 4.000 và 60.000 trang web.

Sau tiết lộ có trách nhiệm của các nhà nghiên cứu Wordfence vào tháng 11 năm 2021, vấn đề đã được giải quyết trong Cửa sổ bật lên đăng nhập / đăng ký phiên bản 2.3, Side Cart Woocommerce phiên bản 2.1 và Waitlist Woocommerce phiên bản 2.5.2.

Các phát hiện được đưa ra hơn một tháng sau khi những kẻ tấn công khai thác điểm yếu trong bốn plugin và 15 chủ đề Epsilon Framework để nhắm mục tiêu 1,6 triệu trang web WordPress như một phần của chiến dịch tấn công quy mô lớn bắt nguồn từ 16.000 địa chỉ IP.

"Mặc dù lỗ hổng Cross-Site Request Forgery (CSRF) này ít có khả năng bị khai thác do thực tế là nó yêu cầu sự tương tác của quản trị viên, nhưng nó có thể có tác động đáng kể đến một trang web được khai thác thành công và như vậy, nó đóng vai trò là một nhắc nhở để duy trì nhận thức khi nhấp vào liên kết hoặc tệp đính kèm và để đảm bảo rằng bạn thường xuyên cập nhật các plugin và chủ đề của mình "

Chloe Chamberland của Wordfence cho biết.

Có: 0/0 đã cho sao
tiếc gì 1 click để cho sao

Bạn đã xem chưa?

Đăng ký ngay công cụ SEO web hiệu quả, dễ dùng XOVI NOW

Đăng ký ngay công cụ SEO web hiệu quả, dễ dùng XOVI NOW

XOVI NOW SEO là một công cụ SEO toàn diện, cung cấp đầy đủ các tính năng cần thiết cho doanh nghiệp trong việc tối ưu hóa website và tăng thứ hạng trên công cụ tìm kiếm.

Chăm sóc trang web, điều nên làm ngay khi có web

Chăm sóc trang web, điều nên làm ngay khi có web

Website là một phần quan trọng trong chiến lược kinh doanh trực tuyến của bất kỳ doanh nghiệp nào. Chăm sóc website là một trong những công việc quan trọng để đảm bảo website hoạt động ổn định, an toàn và hiệu quả.

Tạo email giá rẻ và hiệu quả: Khám phá giải pháp tiết kiệm chi phí.

Tạo email giá rẻ và hiệu quả: Khám phá giải pháp tiết kiệm chi phí.

Trong thời đại công nghệ phát triển nhanh chóng, việc có một địa chỉ email chuyên nghiệp trở nên quan trọng hơn bao giờ hết. Tuy nhiên, không phải ai cũng muốn đầu tư một số tiền lớn để có một dịch vụ email chất lượng.

Quay lại trang Blog
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây