WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng XSS trong plugin Akismet trên WordPress được vá
Automattic, công ty đứng sau WordPress, đã vá một lỗ hổng Stored-XSS trong plugin Akismet, plugin miễn phí chống spam trên WordPress, vốn có thể cho phép tin tặc tấn công các trang WordPress.
Akismet là một plugin đi kèm với tất cả các cài đặt WordPress theo mặc định, đang được sử dụng trên hàng triệu trang WP.
Plugin vô cùng hữu ích, cho phép các quản trị web dễ dàng phát hiện bình luận rác và quét khỏi trang web hoặc đánh dấu để xem xét trong bảng quản trị WordPress (phần Comments).
Akismet phiên bản từ 3.1.4 trở xuống đều có lỗ hổng
Theo Sucuri, hãng an ninh chuyên về các hệ thống bảo vệ WordPress, lỗ hổng trong plugin Akismet có ảnh hưởng đến tất cả các phiên bản từ 3.1.4 trở xuống.
Lỗ hổng này cho phép tin tặc chèn mã độc thông qua các bình luận trên blog, vốn được lưu trữ trong cơ sở dữ liệu của trang web, sau đó được thực thi mỗi khi quản trị viên lướt qua các link không chuẩn trong phần Comments của trang web.
Mặc dù có rất nhiều bộ lọc bảo vệ XSS đi kèm với WordPress, lỗ hổng tự hiển thị do một loạt các liên kết độc hại và chỉ khi trang web được cấu hình để chuyển đổi từ mặt cười dạng text như "
" sang emoji đồ họa.
Do tính năng này mặc định được bật trong tất cả các trang WordPress, tin tặc có trong tay một mục tiêu tấn công rất lớn.
Automattic sửa lỗi và bảo vệ các phiên bản plugin Akismet có lỗ hổng (trên cloud)
Lỗi này được phát hiện vào đầu tháng, và Automattic đã đưa ra bản vá trong vòng chưa đầy hai tuần, phát hành phiên bản 3.1.5 để vá lỗi.
Ngoài ra, vì Akismet kiểm tra tất cả các bình luận rác trên các máy chủ đám mây của mình, Akismet cũng có thể phát hiện các cuộc gọi API từ các phiên bản plugin Akismet cũ hơn.
Điều này cho phép đội ngũ WordPress thiết lập một hệ thống bảo vệ tại chỗ ngăn chặn các cuộc tấn công loại này, ngay cả khi webmaster chưa nâng cấp plugin Akismet của mình.
Nguồn: Softpedia
Akismet là một plugin đi kèm với tất cả các cài đặt WordPress theo mặc định, đang được sử dụng trên hàng triệu trang WP.
Plugin vô cùng hữu ích, cho phép các quản trị web dễ dàng phát hiện bình luận rác và quét khỏi trang web hoặc đánh dấu để xem xét trong bảng quản trị WordPress (phần Comments).
Akismet phiên bản từ 3.1.4 trở xuống đều có lỗ hổng
Theo Sucuri, hãng an ninh chuyên về các hệ thống bảo vệ WordPress, lỗ hổng trong plugin Akismet có ảnh hưởng đến tất cả các phiên bản từ 3.1.4 trở xuống.
Lỗ hổng này cho phép tin tặc chèn mã độc thông qua các bình luận trên blog, vốn được lưu trữ trong cơ sở dữ liệu của trang web, sau đó được thực thi mỗi khi quản trị viên lướt qua các link không chuẩn trong phần Comments của trang web.
Mặc dù có rất nhiều bộ lọc bảo vệ XSS đi kèm với WordPress, lỗ hổng tự hiển thị do một loạt các liên kết độc hại và chỉ khi trang web được cấu hình để chuyển đổi từ mặt cười dạng text như "
" sang emoji đồ họa.Do tính năng này mặc định được bật trong tất cả các trang WordPress, tin tặc có trong tay một mục tiêu tấn công rất lớn.
Automattic sửa lỗi và bảo vệ các phiên bản plugin Akismet có lỗ hổng (trên cloud)
Lỗi này được phát hiện vào đầu tháng, và Automattic đã đưa ra bản vá trong vòng chưa đầy hai tuần, phát hành phiên bản 3.1.5 để vá lỗi.
Ngoài ra, vì Akismet kiểm tra tất cả các bình luận rác trên các máy chủ đám mây của mình, Akismet cũng có thể phát hiện các cuộc gọi API từ các phiên bản plugin Akismet cũ hơn.
Điều này cho phép đội ngũ WordPress thiết lập một hệ thống bảo vệ tại chỗ ngăn chặn các cuộc tấn công loại này, ngay cả khi webmaster chưa nâng cấp plugin Akismet của mình.
Nguồn: Softpedia