WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
WordPress phát hành phiên bản 4.7.3 vá nhiều lỗ hổng an ninh
Các nhà phát triển WordPress vừa công bố phát hành phiên bản 4.7.3, bao gồm bản vá cho 6 lỗ hổng an ninh và 39 bản vá bảo trì.
WordPress 4.7.3 khắc phục ba lỗ hổng XSS (cross-site scripting) có thể bị khai thác thông qua siêu dữ liệu (metadata) tệp phương tiện, các URL video nhúng trong YouTube và tên thuật ngữ phân loại. Các nhà nghiên cứu Chris Andrè Dale, Yorick Koster, Simon P. Briggs, Marc Montpas và một người dùng tên "Delta" được ghi nhận vì đã tìm ra những lỗ hổng này.
Bản cập nhật mới nhất của WordPress cũng vá một lỗ hổng cho phép các ký hiệu điều khiển lừa đảo việc xác nhận URL chuyển hướng và một lỗi có thể khiến các quản trị viên xóa các tập tin không chủ đích thông qua chức năng xoá plugin.
Một lỗ hổng khác được vá hôm thứ Hai là một giả mạo yêu cầu cross-site (CSRF) trong chức năng "Press This". Khai thác lỗ hổng này có thể dẫn tới việc sử dụng quá nhiều tài nguyên máy chủ và điều kiện từ chối dịch vụ (DoS).
Mellema và Koster đã xác định các lỗ hổng CSRF và XSS vào tháng 7/2016 trong cuộc thi Summer of Pwnage do công ty Securify của Hà Lan tổ chức. Chi tiết về lỗ hổng và mã PoC đã được công khai trên trang web Summer of Pwnage.
Theo Koster, ông xác định hai lỗ hổng XSS trong chức năng danh sách phát của WordPress. Kẻ tấn công cần thuyết phục một biên tập viên hoặc quản trị viên tải lên tệp MP3 có chứa metadata tự tạo đặc biệt. Mã của kẻ tấn công sẽ được thực thi khi metadata được xử lý bằng phương thức renderTracks() or wp_playlist_shortcode().
Hơn 100 lỗ hổng đã được tìm thấy trong lõi và plugin của WordPress qua dự án Summer of Pwnage, và phần lớn các vấn đề đã được tiết lộ vào ngày 1/3, bất kể đã được vá hay chưa.
Một lỗ hổng lõi của WordPress vẫn chưa được vá là lỗi CSRF được phát hiện vào tháng 7/2016. Chi tiết về lỗ hổng vẫn chưa được tiết lộ, tuy nhiên, về mặt lý thuyết, lỗ hổng có thể cho phép kẻ tấn công ăn cắp thông tin đăng nhập FTP và SSH. Các chuyên gia cho biết lỗ hổng có thể có ảnh hưởng lớn, nhưng xác suất khai thác là khá thấp.
Trong khi các nhà phát triển của hệ thống quản lý nội dung (CMS) tuyên bố WordPress 4.7.3 đã vá sáu lỗ hổng, có thể còn các vấn đề khác chưa được tiết lộ để bảo vệ người dùng. WordPress 4.7.2, được phát hành vào ngày 26/1, dường như chỉ vá ba lỗ hổng, nhưng thực tế đã giải quyết vấn đề leo thang đặc quyền nghiêm trọng và vấn đề content injection được tiết lộ chỉ một tuần sau đó.
Lỗ hổng quan trọng này đã bị khai thác trong các hành vi lừa đảo để có được quyền kiểm soát hoàn toàn một trang web.
WordPress 4.7.3 khắc phục ba lỗ hổng XSS (cross-site scripting) có thể bị khai thác thông qua siêu dữ liệu (metadata) tệp phương tiện, các URL video nhúng trong YouTube và tên thuật ngữ phân loại. Các nhà nghiên cứu Chris Andrè Dale, Yorick Koster, Simon P. Briggs, Marc Montpas và một người dùng tên "Delta" được ghi nhận vì đã tìm ra những lỗ hổng này.
Bản cập nhật mới nhất của WordPress cũng vá một lỗ hổng cho phép các ký hiệu điều khiển lừa đảo việc xác nhận URL chuyển hướng và một lỗi có thể khiến các quản trị viên xóa các tập tin không chủ đích thông qua chức năng xoá plugin.
Một lỗ hổng khác được vá hôm thứ Hai là một giả mạo yêu cầu cross-site (CSRF) trong chức năng "Press This". Khai thác lỗ hổng này có thể dẫn tới việc sử dụng quá nhiều tài nguyên máy chủ và điều kiện từ chối dịch vụ (DoS).
Mellema và Koster đã xác định các lỗ hổng CSRF và XSS vào tháng 7/2016 trong cuộc thi Summer of Pwnage do công ty Securify của Hà Lan tổ chức. Chi tiết về lỗ hổng và mã PoC đã được công khai trên trang web Summer of Pwnage.
Theo Koster, ông xác định hai lỗ hổng XSS trong chức năng danh sách phát của WordPress. Kẻ tấn công cần thuyết phục một biên tập viên hoặc quản trị viên tải lên tệp MP3 có chứa metadata tự tạo đặc biệt. Mã của kẻ tấn công sẽ được thực thi khi metadata được xử lý bằng phương thức renderTracks() or wp_playlist_shortcode().
Hơn 100 lỗ hổng đã được tìm thấy trong lõi và plugin của WordPress qua dự án Summer of Pwnage, và phần lớn các vấn đề đã được tiết lộ vào ngày 1/3, bất kể đã được vá hay chưa.
Một lỗ hổng lõi của WordPress vẫn chưa được vá là lỗi CSRF được phát hiện vào tháng 7/2016. Chi tiết về lỗ hổng vẫn chưa được tiết lộ, tuy nhiên, về mặt lý thuyết, lỗ hổng có thể cho phép kẻ tấn công ăn cắp thông tin đăng nhập FTP và SSH. Các chuyên gia cho biết lỗ hổng có thể có ảnh hưởng lớn, nhưng xác suất khai thác là khá thấp.
Trong khi các nhà phát triển của hệ thống quản lý nội dung (CMS) tuyên bố WordPress 4.7.3 đã vá sáu lỗ hổng, có thể còn các vấn đề khác chưa được tiết lộ để bảo vệ người dùng. WordPress 4.7.2, được phát hành vào ngày 26/1, dường như chỉ vá ba lỗ hổng, nhưng thực tế đã giải quyết vấn đề leo thang đặc quyền nghiêm trọng và vấn đề content injection được tiết lộ chỉ một tuần sau đó.
Lỗ hổng quan trọng này đã bị khai thác trong các hành vi lừa đảo để có được quyền kiểm soát hoàn toàn một trang web.
Theo Security Week