Lỗi trong plugin WordPress Live Chat cho phép kẻ tấn công tiêm nhiễm mã độc

Các Admin trang web sử dụng plugin WordPress Live Chat Support cho WordPress được khuyến cáo cập nhật lên phiên bản plugin mới nhất để ngăn chặn lỗ hổng Cross-Site Scripting (XSS) có thể bị lạm dụng mà không cần xác thực.

Plugin WordPress Live Chat hiện được cài đặt trên hơn 60.000 trang web Plugin WordPress Live Chat được giới thiệu là giải pháp thay thế miễn phí cho chức năng trò chuyện để thu hút khách hàng.

Nguy cơ các cuộc tấn công tự động

Các nhà nghiên cứu tại Sucuri phát hiện ra các phiên bản plugin trước phiên bản 8.0.27 dễ bị tổn thương bởi các lỗ hổng Cross-Site Scripting (XSS) , và có thể bị khai thác từ xa bởi kẻ tấn công không có tài khoản trên trang web bị ảnh hưởng.

Không phải xác thực trên trang web mục tiêu, kẻ tấn công có thể tự động hóa các cuộc tấn công của họ trên số lượng lớn các nạn nhân. Thêm vào đó là sự phổ biến của plugin và nỗ lực khai thác thấp, điều này có thể dẫn đến các cuộc tấn công tự động.

Lỗ hổng XSS được đánh giá là khá nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công tiêm nhiễm mã độc (như Wanna Cry chẳng hạn) vào các trang web hoặc ứng dụng web và xâm phạm tài khoản của khách truy cập hoặc thêm các mã độc này vào các nội dung trang đã sửa đổi.

XSS có thể tồn tại "dai dẳng" nếu mã độc được thêm vào một phần được lưu trữ trên máy chủ, chẳng hạn như bình luận người dùng. Khi người dùng tải trang bị nhiễm mã độc, mã độc này được phân tích bởi cú phám trình duyệt hoàn thành các hướng dẫn của kẻ tấn công.

Theo các nhà nghiên cứu bảo mật của Sucuri, việc khai thác lỗ hổng có thể là do "admin_init hook" không được bảo vệ - vector tấn công các plugin WordPress phổ biến.

Các nhà nghiên cứu cũng cho biết thêm hàm "wplc_head_basic " không được sử dụng để chạy kiểm tra đặc quyền phù hợp để cập nhật cài đặt plugin WordPress.

loi trong plugin wordpress live chat cho phep ke tan cong tiem nhiem ma doc

Sau đó hàm chạy để kiểm tra đặc quyền quan trọng hơn như trong hình minh họa dưới đây:

loi trong plugin wordpress live chat cho phep ke tan cong tiem nhiem ma doc 2

" Vì admin_init có thể được gọi bằng cách truy cập /wp-admin/admin-post.php hoặc /wp-admin/admin-ajax.php , kẻ tấn công không xác thực có thể sử dụng các điểm cuối này để tùy ý cập nhật tùy chọn wplc_custom_js ".

Nội dung của tùy chọn hiện diện trên mọi trang hỗ trợ trò chuyện trực tiếp, vì vậy kẻ tấn công nhắm mục tiêu vào trang web dễ bị tấn công có thể tiêm mã JavaScript trên nhiều trang.

Sucuri đã báo cáo vấn đề này cho các nhà phát triển plugin vào hôm 30/4 vừa qua, phiên bản vá lỗi đã được phát hành vào hôm thứ 4.

https://thuthuat.taimienphi.vn/loi-trong-plugin-wordpress-live-chat-cho-phep-ke-tan-cong-tiem-nhiem-ma-doc-47093n.aspx
WordPress là công cụ hỗ trợ tạo trang web tốt nhất hiện nay, người dùng chọn cách thiết kế, tạo blog bằng WordPress phổ biến vì không cần biết code vẫn có thể tạo được, nhưng để bắt đầu, trước hết bạn cần cài đặt WordPess trên máy tính của mình, tham khảo cách cài đặt WordPress tại đây.

Tác giả: Trần Khởi My     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Các lỗ hổng WordPress tăng gấp 3 lần trong năm 2018
Cách cài đặt WordPress
Top plugin tăng tốc WordPress tốt nhất
Cách thêm các file Media trong WordPress
Cách kiểm duyệt bình luận, comment trong WordPress
Từ khoá liên quan:

Lỗi trong plugin WordPress Live Chat cho phép kẻ tấn công tiêm nhiễm mã độc

, plugin WordPress Live Chat, lỗ hổng trong plugin WordPress Live Chat,

SOFT LIÊN QUAN
  • WordPress Live Chat Plugin

    Plugin trò chuyện trong WordPress

    WordPress Live Chat Plugin là ứng dụng hỗ trợ cho trang web WordPress giúp bạn trò chuyện trực tiếp, cho phép bạn liên lạc tức thì với khách truy cập và khách hàng tại chỗ với mục đích giải quyết kịp thời các câu hỏi hoặc thắc mắc của họ. Plugin này sẽ giúp bạn tăng doanh số bán hàng của mình và xây dựng mối quan hệ với khách hàng tốt hơn.

Tin Mới