WordPress 5.0.1 được phát hành để vá 7 lỗ hổng bảo mật

DDos

DDos

VIP Members
22/10/2013
524
2.191 bài viết
WordPress 5.0.1 được phát hành để vá 7 lỗ hổng bảo mật
DDos
Sau khi công bố phiên bản WordPress 5.0 đi cùng với trình chỉnh sửa mới, đã gây ra khá nhiều tranh cãi với người dùng. Khi trình soạn thảo cũ đã đi cùng với WordPress trong suốt thời gian hình thành và phát triển. Sau một tuần phát hành của WordPress 5.0, hôm nay, đội ngũ phát triển của WordPress đã phát hành phiên bản WordPress 5.0.1 để sửa lỗi 7 lổ hổng trong WordPress. Cần lưu ý rằng, tất cả lỗ hổng này ảnh hưởng tới tất cả các phiên bản WordPress thấp hơn 5.0.1. Do đó, dù không thích với trình soạn thảo mới trong WordPress 5.0, bạn cũng nên cập nhật tới phiên bản 5.0.1 để tránh gặp rủi ro cho website của mình. Chi tiết lỗ hổng là như dưới đây:
wp-featured.jpeg

  • Karim El Ouerghemmi phát hiện ra rằng một user với quyền là tác giả (author) trong website có thể thay đổi dữ liệu meta để xóa file mà họ không có quyền được xóa.
  • Simon Scannell tới từ RIPS Technologies phát hiện ra lỗi với quyền tác giả (author) trong website có thể tạo bất kỳ loại bài viết (text, media, video ...) nào trên website.
  • Sam Thomas phát hiện ra lỗi mà kẻ tấn công có thể tạo ra một file meta được thủ thuật và gây ra lỗi PHP object injection. Với lỗi này Hacker có thể dễ dàng thực thi những code để khai thác website của bạn.
  • Tim Coen phát hiện ra rằng những người đóng góp (contributors) có thể chỉnh sửa nhận xét mới từ những người dùng có đặc quyền cao hơn, nó có thể dẫn tới lỗ hổng XSS bởi lẽ theo mặc định editor và admin sẽ được sử dụng các ký tự như ">,<", các thẻ đặc biệt.. trong bình luận bài viết.
  • Tim Coen cũng phát hiện ra rằng các đầu vào URL được chế tạo đặc biệt có thể dẫn đến lỗ hổng XSS trong một số trường hợp. Bản thân WordPress không bị ảnh hưởng, nhưng các plugin có thể bị ảnh hưởng trong một số trường hợp.
  • Team Yoast phát hiện ra rằng màn hình kích hoạt người dùng có thể được các công cụ tìm kiếm lập chỉ mục trong một số cấu hình không phổ biến, dẫn đến việc lộ địa chỉ email.
  • Tim CoenSlavco đã phát hiện ra rằng các tác giả trên các trang web được lưu trữ trên Apache có thể tải lên các tệp được tạo riêng biệt vượt qua xác minh MIME, dẫn đến lỗ hổng XSS.
Là quản trị viên của website, bạn hãy cập nhật lên WordPress 5.0.1 ngay để tránh website của mình bị khai thác bởi những kẻ xấu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng trong plugin của WordPress khiến hơn 1 triệu trang web bị rò rỉ thông tin
  • Lỗ hổng trong plugin LiteSpeed của WordPress khiến 5 triệu trang web gặp rủi ro
  • Theme Bricks có thể bị khai thác khiến website WordPress thành "cục gạch"
  • WordPress vá lỗi POP chain có thể dẫn đến thực thi mã từ xa
  • Lỗi plugin WP Fastest Cache khiến 600 nghìn trang WordPress bị tấn công
  • Lỗi nghiêm trọng ảnh hưởng đến 70 nghìn trang WordPress
    • Bên trên