-
09/04/2020
-
87
-
573 bài viết
Lỗ hổng trong Plugin Woody Code Snippets đe dọa hơn 70,000 trang web WordPress
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin Woody Code Snippets cho WordPress, một công cụ phổ biến được hơn 70,000 trang web sử dụng để tạo và quản lý các đoạn mã.
Lỗ hổng được xác định có mã là CVE-2024-3105, với điểm CVSS 9,9 cho phép thực thi mã từ xa (RCE) và gây ra rủi ro nghiêm trọng cho các trang web sử dụng plugin trên.
Plugin Woody Code Snippets giúp quản trị viên chèn các đoạn mã hoặc văn bản trùng lặp vào nhiều phần khác nhau của trang web, chẳng hạn như tiêu đề, chân trang và bài đăng bằng cách sử dụng mã ngắn. Plugin cũng cung cấp logic có điều kiện để kiểm soát việc hiển thị các đoạn mã.
Tuy nhiên, chức năng insert_php của plugin không hạn chế riêng cho những người dùng được ủy quyền cấp cao, tạo cơ hội cho những người dùng có đặc quyền thấp hơn khai thác tính năng này.
Bởi vậy những người dùng có đóng góp trở lên có thể tận dụng mã ngắn insert_php để thực thi mã PHP tùy ý trên máy chủ. Điều này có thể dẫn đến chiếm quyền máy chủ hoàn toàn, đánh cắp dữ liệu, phá hoại trang web hoặc phát tán phần mềm độc hại.
Các nhà phát triển đoạn mã Woody đã phát hành phiên bản 2.5.1 để giải quyết lỗ hổng CVE-2024-3105. Tất cả người dùng plugin được khuyến cáo cập nhật lên phiên bản này ngay lập tức để bảo vệ trang web khỏi các cuộc tấn công tiềm ẩn.
Lỗ hổng được xác định có mã là CVE-2024-3105, với điểm CVSS 9,9 cho phép thực thi mã từ xa (RCE) và gây ra rủi ro nghiêm trọng cho các trang web sử dụng plugin trên.
Plugin Woody Code Snippets giúp quản trị viên chèn các đoạn mã hoặc văn bản trùng lặp vào nhiều phần khác nhau của trang web, chẳng hạn như tiêu đề, chân trang và bài đăng bằng cách sử dụng mã ngắn. Plugin cũng cung cấp logic có điều kiện để kiểm soát việc hiển thị các đoạn mã.
Tuy nhiên, chức năng insert_php của plugin không hạn chế riêng cho những người dùng được ủy quyền cấp cao, tạo cơ hội cho những người dùng có đặc quyền thấp hơn khai thác tính năng này.
Bởi vậy những người dùng có đóng góp trở lên có thể tận dụng mã ngắn insert_php để thực thi mã PHP tùy ý trên máy chủ. Điều này có thể dẫn đến chiếm quyền máy chủ hoàn toàn, đánh cắp dữ liệu, phá hoại trang web hoặc phát tán phần mềm độc hại.
Các nhà phát triển đoạn mã Woody đã phát hành phiên bản 2.5.1 để giải quyết lỗ hổng CVE-2024-3105. Tất cả người dùng plugin được khuyến cáo cập nhật lên phiên bản này ngay lập tức để bảo vệ trang web khỏi các cuộc tấn công tiềm ẩn.
Chỉnh sửa lần cuối: