Lỗi trong plugin WordPress Live Chat cho phép kẻ tấn công tiêm nhiễm mã độc

Các Admin trang web sử dụng plugin WordPress Live Chat Support cho WordPress được khuyến cáo cập nhật lên phiên bản plugin mới nhất để ngăn chặn lỗ hổng Cross-Site Scripting (XSS) có thể bị lạm dụng mà không cần xác thực.

Plugin WordPress Live Chat hiện được cài đặt trên hơn 60.000 trang web Plugin WordPress Live Chat được giới thiệu là giải pháp thay thế miễn phí cho chức năng trò chuyện để thu hút khách hàng.

Nguy cơ các cuộc tấn công tự động

Các nhà nghiên cứu tại Sucuri phát hiện ra các phiên bản plugin trước phiên bản 8.0.27 dễ bị tổn thương bởi các lỗ hổng Cross-Site Scripting (XSS) , và có thể bị khai thác từ xa bởi kẻ tấn công không có tài khoản trên trang web bị ảnh hưởng.

Không phải xác thực trên trang web mục tiêu, kẻ tấn công có thể tự động hóa các cuộc tấn công của họ trên số lượng lớn các nạn nhân. Thêm vào đó là sự phổ biến của plugin và nỗ lực khai thác thấp, điều này có thể dẫn đến các cuộc tấn công tự động.

Lỗ hổng XSS được đánh giá là khá nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công tiêm nhiễm mã độc (như Wanna Cry chẳng hạn) vào các trang web hoặc ứng dụng web và xâm phạm tài khoản của khách truy cập hoặc thêm các mã độc này vào các nội dung trang đã sửa đổi.

XSS có thể tồn tại "dai dẳng" nếu mã độc được thêm vào một phần được lưu trữ trên máy chủ, chẳng hạn như bình luận người dùng. Khi người dùng tải trang bị nhiễm mã độc, mã độc này được phân tích bởi cú phám trình duyệt hoàn thành các hướng dẫn của kẻ tấn công.

Theo các nhà nghiên cứu bảo mật của Sucuri, việc khai thác lỗ hổng có thể là do "admin_init hook" không được bảo vệ - vector tấn công các plugin WordPress phổ biến.

Các nhà nghiên cứu cũng cho biết thêm hàm "wplc_head_basic " không được sử dụng để chạy kiểm tra đặc quyền phù hợp để cập nhật cài đặt plugin WordPress.

loi trong plugin wordpress live chat cho phep ke tan cong tiem nhiem ma doc

Sau đó hàm chạy để kiểm tra đặc quyền quan trọng hơn như trong hình minh họa dưới đây:

loi trong plugin wordpress live chat cho phep ke tan cong tiem nhiem ma doc 2

" Vì admin_init có thể được gọi bằng cách truy cập /wp-admin/admin-post.php hoặc /wp-admin/admin-ajax.php , kẻ tấn công không xác thực có thể sử dụng các điểm cuối này để tùy ý cập nhật tùy chọn wplc_custom_js ".

Nội dung của tùy chọn hiện diện trên mọi trang hỗ trợ trò chuyện trực tiếp, vì vậy kẻ tấn công nhắm mục tiêu vào trang web dễ bị tấn công có thể tiêm mã JavaScript trên nhiều trang.

Sucuri đã báo cáo vấn đề này cho các nhà phát triển plugin vào hôm 30/4 vừa qua, phiên bản vá lỗi đã được phát hành vào hôm thứ 4.

http://thuthuat.taimienphi.vn/loi-trong-plugin-wordpress-live-chat-cho-phep-ke-tan-cong-tiem-nhiem-ma-doc-47093n.aspx
WordPress là công cụ hỗ trợ tạo trang web tốt nhất hiện nay, người dùng chọn cách thiết kế, tạo blog bằng WordPress phổ biến vì không cần biết code vẫn có thể tạo được, nhưng để bắt đầu, trước hết bạn cần cài đặt WordPess trên máy tính của mình, tham khảo cách cài đặt WordPress tại đây.

Tác giả: Nguyễn Cảnh Nam     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách cài đặt WordPress
Cách thêm các file Media trong WordPress
Cách kiểm duyệt bình luận, comment trong WordPress
Hướng dẫn cài SSL cho WordPress
Top plugin tối ưu hình ảnh WordPress tốt nhất
Từ khoá liên quan:

Lỗi trong plugin WordPress Live Chat cho phép kẻ tấn công tiêm nhiễm mã độc

, plugin WordPress Live Chat, lỗ hổng trong plugin WordPress Live Chat,

SOFT LIÊN QUAN
  • WordPress Live Chat Plugin

    Plugin trò chuyện trong WordPress

    WordPress Live Chat Plugin là ứng dụng hỗ trợ cho trang web WordPress giúp bạn trò chuyện trực tiếp, cho phép bạn liên lạc tức thì với khách truy cập và khách hàng tại chỗ với mục đích giải quyết kịp thời các câu hỏi hoặc thắc mắc của họ. Plugin này sẽ giúp bạn tăng doanh số bán hàng của mình và xây dựng mối quan hệ với khách hàng tốt hơn.

  • Perfmatters Tăng tốc hiệu suất cho WordPress
  • Yoast WordPress SEO Plugin SEO Plugin phổ biến nhất cho WordPress
  • Salt Shaker Bảo mật cho website WordPress
  • Kalium Mẫu template Wordpress có thể dùng cho nhiều website khác nhau
  • BeTheme Mẫu theme đa chức năng để thiết kế trang web bằng Wordpress

Tin Mới

  • AOE 2 được phát hành vào ngày 14/11/2019

    Trong buổi ra mắt Inside Xbox tại sự kiện Gamescom năm nay, gã khổng lồ phần mềm Microsoft vừa tiết lộ tựa game Đế Chế 2 (AOE 2), tên đầy đủ là Age of Empires II: Definitive Edition sẽ được phát hành vào ngày 14/11 tới đây.

  • Paint & WordPad được chuyển sang tính năng tùy chọn trên Windows 10

    Sau làn sóng phản đối mạnh mẽ của người dùng trung thành với ứng dụng Paint, Microsoft đã từ bỏ kế hoạch loại bỏ ứng dụng cổ điển này ra khỏi hệ điều hành Windows, mặc dù Microsoft đã thực hiện hứa hẹn đưa ứng dụng vào bản cập nhật Win 10 vào tháng 5 năm nay nhưng hãng vẫn chưa hoàn toàn từ bỏ ý tưởng hướng người dùng chuyển sang sử dụng ứng dụng Paint 3D cho chỉnh sửa ảnh.

  • Microsoft thừa nhận sử dụng nhà thầu bên thứ 3 để nghe các bản ghi âm Skype và Cortana

    Sau một loạt các ông lớn công nghệ như Apple, Amazon, Google và Facebook, đến lượt Microsoft thừa nhận sử dụng nhà thầu bên thứ 3 để nghe các bản ghi âm bằng giọng nói trên Skype và Cortana, tuy nhiên Microsoft cho biết hãng vẫn sẽ sử dụng con người để cải thiện trợ lý ảo và Skype.

  • Điểm chuẩn Đại học Kinh tế Quốc Dân 2019, cao nhất 33,65

    Một trong số các trường đại học đào tạo về kinh tế hàng đầu của Việt Nam phải kể đến trường Đại học Kinh tế Quốc dân, cũng bởi vậy Điểm chuẩn Đại học Kinh tế Quốc dân luôn ở top đầu. Năm 2018, điểm chuẩn cao nhất của trường là 30.75 điểm ngành Ngôn ngữ Anh, thấp nhất là 20.5 điểm ngành Quản lí đất đai, Quản lí tài nguyên và môi trường. Dự đoán năm 2019, mức điểm chuẩn này không có nhiều thay đổi.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá