Lỗ hổng WordPress plugin cho phép hacker tiêm mã độc vào gần 100.000 trang web

Tin công nghệ

Các lỗ hổng trong Popup Builder Wordpress plugin có thể cho phép hacker tiêm mã JavaScript vào cửa sổ pop-up được hiển thị trên hàng chục nghìn trang web, để đánh cắp thông tin và có khả năng chiếm lĩnh hoàn toàn các trang web được nhắm mục tiêu.

Với Popup Builder, các chủ trang web có thể tạo, triển khai và quản lý các cửa sổ pop-up có khả năng tùy chỉnh được. Những cửa sổ pop-up này chứa nhiều nội dung, từ mã HTMLJavaScript đến hình ảnh và video.

lo hong wordpress plugin cho phep hacker tiem ma doc vao gan 100 000 trang web

Lỗ hổng bảo mật Wordpress có cho phép hacker tấn công 100.000 trang web

Sygnoos, tác giả của plugin này đã quảng cáo nó như một công cụ có thể giúp tăng doanh thu thông qua những cửa sổ pop-up, được sử dụng để hiển thị quảng cáo, yêu cầu đăng ký, giảm giá và nhiều loại nội dung quảng cáo khác.

Lỗ hổng để lộ thông tin và tấn công XSS

Các lỗ hổng bảo mật được phát hiện bởi Defiant QA Engineer Ram Gall gây ảnh hưởng đến tất cả các phiên bản và bao gồm cả Popup Builder 3.63.

Gall nói rằng: "Một lỗ hổng cho phép các kẻ tấn công tiêm JavaScript độc hại vào bất kỳ cửa sổ pop-up được công khai nào. Mã độc sau đó sẽ thực thi bất cứ khi nào cửa sổ pop-up được tải. Thông thường, kẻ tấn công sử dụng lỗ hổng như vậy để chuyển hướng khách truy cập tới các trang web quảng cáo độc hại, hoặc đánh cắp thông tin nhạy cảm từ trình duyệt của họ, mặc dù nó cũng có thể được dùng để chiếm trang web nếu quản trị viên truy cập hoặc xem trước trang có chứa cửa sổ pop-up bị nhiễm khi đăng nhập."

Một lỗi khác khiến cho bất kỳ người dùng đã đăng nhập nào có quyền truy cập vào các tính năng của plugin, để xuất danh sách người đăng ký bản tin điện tử, cũng như xuất thông tin cấu hình hệ thống với yêu cầu POST đơn giản cho admin-post.php.

lo hong wordpress plugin cho phep hacker tiem ma doc vao gan 100 000 trang web 2

Lỗ hổng đã được vá nhưng hàng chục nghìn người vẫn bị tấn công

Các lỗ hổng được theo dõi là CVE-2020-10196 và CVE-2020-10195, cho phép tấn công Stored XSS, tiết lộ cấu hình, xuất dữ liệu người dùng và sửa đổi cài đặt trang web.

Sygnoos đã khắc phục sự cố bảo mật với việc phát hành Popup Builder 3.64.1 một tuần sau khi Defiant thông báo về lỗi.

Kể từ khi bản phát hành Popup Builder cố định được tung ra, chỉ có hơn 33.000 người dùng đã cập nhật plugin, vẫn còn hơn 66.000 trang web có cài đặt hoạt động vẫn bị tấn công.

Gall nói thêm: "Trong khi chúng ta chưa phát hiện bất cứ hành động nguy hiểm nhắm mục tiêu Popup Builder nào, thì lỗ hổng Stored XSS có thể ảnh hưởng nghiêm trọng đến khách truy cập trang web và thậm chí có thể cho phép hacker chiếm lấy trang web".

https://thuthuat.taimienphi.vn/lo-hong-wordpress-plugin-cho-phep-hacker-tiem-ma-doc-vao-gan-100-000-trang-web-56798n.aspx
Để vệ website của mình tốt hơn, các bạn cần có những biện pháp kịp thời, tham khảo một số cách bảo mật đăng nhập WordPress tại đây

Tác giả: Ngọc Link     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cài đặt Plugin trong WordPress
Cách cài đặt WordPress
Top plugin tăng tốc WordPress tốt nhất
Cách thêm các file Media trong WordPress
Cách kiểm duyệt bình luận, comment trong WordPress
Từ khoá liên quan:

lỗi hổng trên WordPress

, lỗi hổng WordPress plugin, sự cố bảo mật trên WordPress,

SOFT LIÊN QUAN

  • WordPress Live Chat Plugin

    Plugin trò chuyện trong WordPress

    WordPress Live Chat Plugin là ứng dụng hỗ trợ cho trang web WordPress giúp bạn trò chuyện trực tiếp, cho phép bạn liên lạc tức thì với khách truy cập và khách hàng tại chỗ với mục đích giải quyết kịp thời các câu hỏi hoặc thắc mắc của họ. Plugin này sẽ giúp bạn tăng doanh số bán hàng của mình và xây dựng mối quan hệ với khách hàng tốt hơn.

ĐỌC NHIỀU

Tin Mới

  • Bing Translator - Dịch nhanh văn bản trên Word

    Bạn có thể dịch văn bản trực tiếp trong Word bằng công cụ Bing Translator, giúp tiết kiệm thời gian mở các phần mềm dịch khác. Cách dịch nhanh văn bản trên Word bằng Bing Translator sẽ được Taimienphi.vn hướng dẫn cụ

  • Adobe sắp phát hành Photoshop phiên bản web miễn phí cho tất cả người dùng

    Adobe hiện đang thử nghiệm phiên bản Photoshop Online miễn phí cho tất cả người dùng. Bản dùng thử hiện giới hạn cho người dùng ở Canada nhưng sẽ sớm mở rộng cho người dùng ở các khu vực khác. Hiện tại người dùng ở Canada có thể truy cập Photoshop trên web thông qua tài khoản Adobe miễn phí.

  • Facebook Messenger có phiên bản trên Web rất tiện dụng

    Ngay từ lúc ra mắt, Facebook Messenger phiên bản web đã được nhiều người lựa chọn bởi tính năng tiện dụng, đáp ứng được người dùng. Thay vì truy cập vào Facebook, bạn hoàn toàn có thể sử dụng trò chuyện dễ dàng. Chúng ta cùng trải nghiệm phiên bản Facebook Messenger trên Web này nhé.

  • Danh sách mã Code Rồng Thần Online mới nhất 2023

    Ngay sau khi đăng nhập Rồng Thần Online và cày sức mạnh đến 50 điểm năng động, game thủ có thể đổi Code Rồng Thần Online mới nhất nhận đậu thần cấp 10, đá cấp 8 và cải trang cực kỳ xịn sò. Mỗi mã Code Rồng Thần Online có giá trị và số lượng vật phẩm đính kèm riêng, chính vì thế bạn nên nhập hết để không bỏ lỡ bất kỳ món quà miễn phí từ NPH.


Tiêu điểm

Cách kiểm tra cấu hình máy tính laptop Win 11, 10, 8, 7Top website tập gõ 10 ngón nhanh tốt nhất 2024

Copyright TAIMIENPHI.VN © 2018 - All rights reserved