WordPress ra phiên bản mới vá lỗ hổng nghiêm trọng XSS

[Ginny Hà]

WordPress vừa ra phiên bản 4.2.3 vá lỗ hổng nghiêm trọng XSS cho phép bất kỳ người dùng có quyền viết bài (Contributor hoặc Author) xâm nhập website. Lỗ hổng ảnh hưởng đến an ninh của hàng triệu website sử dụng Hệ quản trị cơ sở dữ liệu WordPress.

Lỗ hổng XSS tồn tại trên code ứng dụng web và là một trong những loại lỗ hổng được tin tặc “ưa thích” và khai thác thường xuyên.

Theo thông tin từ WordPress, lỗ hổng trên phần mềm có thể cho phép tin tặc nhúng HTML, JavaScript, Flash đã được tin tặc sửa đổi hoặc đoạn mã khác để qua mặt cơ chế bảo vệ của WordPress. Tiếp đến, tin tặc lừa người dùng thực thi đoạn mã độc trên hệ thống của họ, xâm nhập hệ thống và có thể lấy cắp dữ liệu nhạy cảm, bao gồm các cookies được lưu trữ trên hệ thống của họ.

Hiện hãng này chưa cung cấp thông tin chi tiết về cách thức xâm nhập các website có lỗ hổng.

Toàn bộ các phiên bản WordPress từ 4.2.2 trở về trước đều bị ảnh hưởng bởi lỗ hổng, nhưng người dùng có thể yên tâm nếu như đã kích hoạt cập nhật tự động cho phần mềm. Những người dùng không để chế độ này được khuyến cáo cập nhật WordPress lên phiên bản 4.2.3 sớm nhất có thể.

Nguồn: The Hacker News​