Phát hiện plugin WordPress có lỗi bảo mật nguy hiểm cho hàng triệu trang web

Phát hiện plugin WordPress có lỗi bảo mật nguy hiểm cho hàng triệu trang web

09/05/2023

608

0

Chia sẻ lên Facebook
Phát hiện plugin WordPress có lỗi bảo mật nguy hiểm cho hàng triệu trang web

Mới đây, các chuyên gia an ninh mạng đã phát hiện một plugin WordPress có lỗi bảo mật nguy hiểm. Tên của plugin đó là Advanced Custom Fields và hiện nay có hàng triệu trang web đang sử dụng nó. Hãy tìm hiểu ngay lỗi bảo mật của plugin đó là gì và làm sao để bạn tránh bị tấn công bởi công nghệ 24h này.

Plugin WordPress có lỗi bảo mật nguy hiểm là gì?

Những người dùng WordPress mà có plugin Advanced Custom Fields trên trang web của họ nên nâng cấp các biện pháp bảo mật ngay. Các chuyên gia an ninh đã phát hiện ra lỗ hổng trong mã có thể khiến các trang web có sử dụng Advanced Custom Fields gặp phải các cuộc tấn công kịch bản chéo trang (XSS).

 

Một cảnh báo từ Patchstack về lỗ hổng cho biết có hơn hai triệu lượt cài đặt của plugin Advanced Custom Fields và Advanced Custom Fields Pro, được sử dụng để cung cấp cho người điều hành trang web quyền kiểm soát tốt hơn đối với nội dung và dữ liệu của họ.

plugin WordPress có lỗi bảo mật nguy hiểm
Plugin WordPress có lỗi bảo mật nguy hiểm là gì?

Nhà nghiên cứu của Patchstack, Rafie Muhammad đã phát hiện ra lỗ hổng vào ngày 5 tháng 2 và báo cáo nó cho nhà cung cấp Delicious Brains của Advanced Custom Fields, công ty đã tiếp quản phần mềm vào năm ngoái từ nhà phát triển Elliot Condon.

 

Vào ngày 5 tháng 5, một tháng sau khi phiên bản vá lỗi của plugin được Delicious Brains phát hành, Patchstack đã công bố chi tiết về lỗ hổng. Người dùng nên cập nhật plugin của họ lên ít nhất là phiên bản 6.1.6.

Xem thêm:

Lỗi bảo mật của Advanced Custom Fields là gì?

Lỗi bảo mật được đặt tên là CVE-2023-30777 và có điểm CVSS là 6,1 trên 10 về mức độ nghiêm trọng, khiến các trang web dễ bị tấn công XSS phản ánh, liên quan đến những hacker chuyên tiêm mã độc vào các trang web. Sau đó, mã được "phản ánh" trở lại và được thực thi trong trình duyệt của khách truy cập.

 

Về cơ bản, nó cho phép ai đó chạy JavaScript trong chế độ xem trang của người khác, cho phép kẻ tấn công thực hiện những việc như đánh cắp thông tin từ trang, thực hiện các hành động với tư cách là người dùng, v.v. Đó là một vấn đề lớn nếu khách truy cập là người dùng quản trị đã đăng nhập, vì tài khoản của họ có thể bị tấn công để chiếm lấy trang web.

plugin WordPress có lỗi bảo mật nguy hiểm
Lỗi bảo mật của Advanced Custom Fields là gì?

"Lỗ hổng này cho phép bất kỳ người dùng không được xác thực nào [đánh cắp] thông tin nhạy cảm, trong trường hợp này, leo thang đặc quyền trên trang web WordPress bằng cách lừa người dùng đặc quyền truy cập vào đường dẫn URL được tạo," Patchstack viết trong báo cáo của mình.

 

Patchstack cho biết thêm rằng "lỗ hổng này có thể được kích hoạt khi cài đặt hoặc cấu hình mặc định của plugin Advanced Custom Fields. XSS cũng chỉ có thể được kích hoạt từ những người dùng đã đăng nhập có quyền truy cập vào plugin Advanced Custom Fields." Lỗ hổng XSS là một trong bốn lỗi trong plugin phổ biến nhất trong vài năm qua.

Plugin trên WordPress có nhiều lỗ hổng hơn bạn nghĩ

WordPress vẫn là hệ thống quản lý nội dung phổ biến nhất trên thế giới, được sử dụng bởi 43,2% tất cả các trang web. Do có hàng trăm triệu trang web sử dụng nó, nên WordPress cũng trở thành mục tiêu phổ biến của những kẻ bất lương muốn khai thác bất kỳ lỗ hổng nào trong hệ thống - đó là nơi kiếm tiền.

plugin WordPress có lỗi bảo mật nguy hiểm
Plugin trên WordPress có nhiều lỗ hổng hơn bạn nghĩ

Theo khảo sát của Patchstack, số lượng plugin WordPress có lỗi bảo mật nguy hiểm được báo cáo đã tăng 150% từ năm 2020 đến năm 2021 và 29% plugin có lỗ hổng nghiêm trọng vào thời điểm đó vẫn chưa được vá.

 

Ngoài ra, tính dễ sử dụng của WordPress cho phép bất kỳ ai, từ những người yêu thích công nghệ đến các chuyên gia, nhanh chóng thiết lập một trang web, làm tăng thêm rủi ro bảo mật với nền tảng.

Kết luận

Việc plugin WordPress có lỗi bảo mật nguy hiểm là vấn đề không mới. Với việc có hàng triệu triệu trang web đang sử dụng các dịch vụ WordPress, nơi đây tất nhiên là một bãi săn mồi béo bở của các hacker. Việc bạn cần làm chỉ là theo dõi các tin tức hot 24h liên quan tới WordPress và sẵn sàng cập nhật các plugin để tránh bị tấn công là được.

Luân Thái anh là một chuyên gia về thể tin tức hot 24h trong ngày. Anh luôn cập nhật nhanh nhiều tin nóng theo xu hướng thế giới về mảng công nghệ, bản tin bóng đá, giải trí tổng hợp như về Digital Brand, Social, Showbiz Việt, Review các phim hot. Hiện tại, anh đang làm việc và sinh sống ở TP. HCM.

Kinh nghiệm thực tế

Tư vấn 1:1

Uy tín

Đây là 3 tiêu chí mà TOPCHUYENGIA luôn muốn hướng tới để đem lại những thông tin hữu ích cho cộng đồng