Mới đây, theo ghi nhận của HOSTVN, wordpress phiên bản 5.2.3 trở xuống đã dính hàng loạt lỗi bảo mật nghiêm trọng ảnh hưởng không nhỏ đến người dùng.
Mới đây, theo ghi nhận của HOSTVN, wordpress phiên bản 5.2.3 trở xuống đã dính hàng loạt lỗi bảo mật nghiêm trọng ảnh hưởng không nhỏ đến người dùng.
Chi tiết về các lỗ hổng bảo mật được phát hiện gần đây như sau:
1. Lỗ hổng xác thực liên kết giới thiệu quản trị viên CSRF
Lỗ hổng này khiến WordPress không thể xác minh xem yêu cầu có hợp lệ hay không và liệu nó có được gửi từ tài khoản quản trị viên hay không.
2. Lỗ hổng nhiễm độc bộ nhớ cache yêu cầu JSON
Lỗ hổng này khiến phương thức Json Request Cache in Get dễ dàng bị nhiễm.
3. Lỗ hổng xác thực URL in của yêu cầu phía máy chủ (SSRF)
Lỗ hổng này khiến kẻ tấn công có thể giả mạo yêu cầu phía máy chủ (SSRF) do lỗi Xác thực URL.
4. Lỗ hổng XSS trong Customizer
Những kẻ tấn công có thể khai thác lỗ hổng XSS tại Customizer
5. Lỗ hổng XSS trong thẻ kiểu
Những kẻ tấn công có thể đưa các tập lệnh độc hại vào Styles thông qua XSS. sự dễ bị tổn thương
6. Lỗ hổng của Chế độ xem Riêng tư / Bản nháp chưa được xác thực
Kẻ tấn công có thể xem và sửa đổi nội dung Bài viết Riêng tư / Bản nháp do lỗi xác thực wordpress.
Các lỗ hổng này hiện đã được fix ở phiên bản wordpress 5.2.4 nên HOSTVN khuyến cáo khách hàng nên nhanh chóng nâng cấp phiên bản wordpress của mình lên 5.2.4
Ngoài ra, bạn có thể tham khảo thêm một số hướng dẫn bảo mật cho wordpress của HOSTVN tại đây:
