WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗi nghiêm trọng trong Jetpack plugin của WordPress
Bản cập nhật cho Jetpack plugin trên nền tảng web phổ biến WordPress vừa được phát hành để xử lý một lỗ hổng an ninh nghiêm trọng đã tồn tại hơn hai năm.
Với trên 5 triệu lượt cài đặt tính đến thời điểm hiện tại, Jetpack cung cấp cho quản trị site WordPress các tính năng về bảo mật, hiệu suất và quản lý trang.
Plugin được thiết kế để bảo vệ các website khỏi các cuộc tấn công brute-force.
Đội ngũ của Jetpack đã phát hành phiên bản 7.9.1 của plugin, thông báo về bản vá an ninh nghiêm trọng và đề nghị người dùng cập nhật trang web của mình càng sớm càng tốt.
Nhóm cũng tiết lộ về việc bản cập nhật giúp khắc phục lỗ hổng khi Jetpack xử lý mã nhúng trên Jetpack từ 5.1 trở lên (Jetpack 5.1 được phát hành vào tháng 07/2017).
“Chưa có bằng chứng cho thấy lỗ hổng bị khai thác trên thực tế. Tuy nhiên, bản cập nhật đã được phát hành, vấn đề chỉ là thời gian trước khi ai đó thử lợi dụng lỗ hổng này”, theo Jetpack team.
Jetpack cũng thông báo rằng họ đã làm việc với đội ngũ an ninh của WordPress.org để phát hành bản vá cho mọi phiên bản của Jetpack từ 5.1. Phần lớn website bị ảnh hưởng đã được cập nhật lên phiên bản an toàn hoặc sẽ sớm được cập nhật.
Các phiên bản đã được phát hành bao gồm: 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, và 7.9.1.
Bên cạnh đó, JetPack 7.9.1 cũng xử lý các lỗi khác và cải thiện sự tương thích với Twenty Twenty, một theme mặc định mới trên nền tảng WordPress.
Plugin được thiết kế để bảo vệ các website khỏi các cuộc tấn công brute-force.
Đội ngũ của Jetpack đã phát hành phiên bản 7.9.1 của plugin, thông báo về bản vá an ninh nghiêm trọng và đề nghị người dùng cập nhật trang web của mình càng sớm càng tốt.
Nhóm cũng tiết lộ về việc bản cập nhật giúp khắc phục lỗ hổng khi Jetpack xử lý mã nhúng trên Jetpack từ 5.1 trở lên (Jetpack 5.1 được phát hành vào tháng 07/2017).
“Chưa có bằng chứng cho thấy lỗ hổng bị khai thác trên thực tế. Tuy nhiên, bản cập nhật đã được phát hành, vấn đề chỉ là thời gian trước khi ai đó thử lợi dụng lỗ hổng này”, theo Jetpack team.
Jetpack cũng thông báo rằng họ đã làm việc với đội ngũ an ninh của WordPress.org để phát hành bản vá cho mọi phiên bản của Jetpack từ 5.1. Phần lớn website bị ảnh hưởng đã được cập nhật lên phiên bản an toàn hoặc sẽ sớm được cập nhật.
Các phiên bản đã được phát hành bao gồm: 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, và 7.9.1.
Bên cạnh đó, JetPack 7.9.1 cũng xử lý các lỗi khác và cải thiện sự tương thích với Twenty Twenty, một theme mặc định mới trên nền tảng WordPress.
Theo SecurityWeek