Tin tặc lợi dụng lỗ hổng để tấn công các trang WordPress

Hạnh Tâm| 22/05/2020 09:54
Theo dõi ICTVietnam trên

Một lỗ hổng đã được xử lý gần đây trong plugin đánh giá sản phẩm (WP Product Review Lite) WordPress có thể bị tin tặc lợi dụng để tấn công các trang web.

WP Product Review Lite được thiết kế để tạo ra những đánh giá (review) sản phẩm trên các trang web WordPress. Nó hỗ trợ việc tạo ra một widget đánh giá những sản phẩm hàng đầu cho phép kiếm tiền thông qua việc nút "buy now" trong các bài đăng. Plugin đã có hơn 40.000 cài đặt.

Widget là một tiện ích quan trọng trong mọi giao diện WordPress, đóng vai trò chỉnh sửa, cấu hình giao diện và quyết định các hiển thị trong thanh slidebar của một trang WordPress cơ bản.

Tin tặc có thể cấy mã vào các trang WordPress qua lỗ hổng trong Product Review Plugin  - Ảnh 1.

Tuần trước, nhóm các nhà phát triển plugin đã xử lý một lỗ hổng XSS (Cross-Site Scripting – Kịch bản chéo trang), có thể bị khai thác để cấy mã vào tất cả các trang sản phẩm của WordPress.

Về vấn đề này, các nhà nghiên cứu bảo mật giải thích rằng, mặc dù tất cả dữ liệu đầu vào của người dùng đã được "làm sạch", một trong những tính năng của WordPress được sử dụng có thể bị bỏ qua nếu tin tặc thiết lập lại tham số bên trong thuộc tính HTML.

Các nhà nghiên cứu cho biết: "Khi khai thác được lỗ hổng, tin tặc có thể cấy các tập lệnh độc hại vào tất cả các sản phẩm của trang".

Theo cảnh báo của công ty bảo mật Sucuri, có thể khởi động một cuộc tấn công mà không cần xác thực, nghĩa là các tác nhân đe dọa có thể tự động tấn công. Điều này khiến cho tội phạm mạng dễ dàng thiết lập các tấn công nhằm một số lượng lớn các trang web có chứa lỗ hổng.

Các nhà nghiên cứu của Sucuri lưu ý rằng: "Số lượng những cài đặt hoạt động, khai thác dễ dàng và những ảnh hưởng của cuộc tấn công là những thứ khiến cho lỗ hổng trở nên đặc biệt nguy hiểm".

Sucuri đã báo cáo lỗ hổng vào ngày 13/5 và phát hành bản vá vào ngày hôm sau với phiên bản WP Product Review Lite 3.7.6

Mặc dù không quan sát thấy có nỗ lực khai thác nào, các nhà nghiên cứu bảo mật khuyến nghị các quản trị viên web nên nâng cấp lên phiên bản đã được vá càng sớm càng tốt, vì những phiên bản cũ của plugin vẫn dễ bị tấn công và có nguy cơ bị xâm phạm.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
  • Tuyên Quang: Kiên trì phương châm “mưa dầm thấm lâu” để nâng cao kiến thức pháp luật cho đồng bào vùng DTTS&MN
    Với phương châm “mưa dầm thấm lâu”, những năm qua, các cấp chính quyền tỉnh Tuyên Quang đã đa dạng hoá các hình thức tuyên truyền, góp phần giúp các kiến thức pháp luật về mọi mặt của đời sống ngày một đến gần hơn với người dân (đặc biệt là vùng đồng bào DTTS&MN).
  • Malaysia gây “sốc” khi trao giấy phép mạng 5G thứ hai
    Câu chuyện 5G của Malaysia đã có một bước ngoặt bất ngờ khi cơ quan quản lý nước này trao giấy phép triển khai mạng 5G thứ hai cho nhà mạng nhỏ nhất của đất nước là U Mobile.
Đừng bỏ lỡ
Tin tặc lợi dụng lỗ hổng để tấn công các trang WordPress
POWERED BY ONECMS - A PRODUCT OF NEKO