Vào cuối tuần trước, hàng triệu trang web WordPress sử dụng plugin UpdraftPlus đã buộc nhận được bản cập nhật để sửa một lỗ hổng nghiêm trọng có thể cho phép bất kỳ người dùng đã đăng ký nào khôi phục cơ sở dữ liệu, trong số những thứ khác.
Lỗ hổng này nhanh chóng được sửa chữa nhờ sự can thiệp của một nhà phân tích bảo mật, người sau đó đã tiến hành kiểm tra plugin nói trên.
Một lỗ hổng nguy hiểm và dễ khai thác
Với hơn ba triệu lượt cài đặt đang hoạt động, UpdraftPlus là một trong những plugin thành công nhất cho các trang web trên WordPress. Nó cho phép rất đơn giản để tổ chức và lập kế hoạch sao lưu và phục hồi các trang web sử dụng nó. Tuần trước, nhà phân tích bảo mật Marc Montpas trong khi kiểm tra plugin đã phát hiện ra một lỗ hổng nghiêm trọng do lỗi gây ra. Anh ấy ngay lập tức liên hệ với nhóm phát triển.
Nói tóm lại, lỗ hổng bảo mật cho phép bất kỳ người dùng nào có tài khoản đã đăng ký trên trang web sử dụng UpdraftPlus gửi một yêu cầu cụ thể từ phía máy chủ nhằm đánh lừa xác minh yêu cầu và sau đó cấp cho người dùng quyền truy cập vào thư mục. options-general.phpchỉ có quản trị viên mới có thể truy cập vào những lúc bình thường.
Với thao tác này, có thể khôi phục các phiên bản trước của bất kỳ trang web nào hoặc cơ sở dữ liệu của chúng, và do đó có được một số thông tin nhạy cảm như số nhận dạng, địa chỉ email hoặc địa chỉ IP. Tổng cộng, trong một tuần, gần ba triệu trang web đã nhận được bản cập nhật sửa lỗi, bằng vũ lực hoặc bằng tay bởi các quản trị viên.
Về cùng một chủ đề:
WordPress: 93 chủ đề và plugin bị hỏng khiến hơn 360.000 trang web gặp rủi ro
Nguồn : Ars-Technica
Bạn muốn tạo một trang web, cá nhân hay chuyên nghiệp? Trình quản lý nội dung (hoặc CMS) đã trở nên cần thiết. Có hàng trăm CMS trên thị trường: miễn phí, mã nguồn mở, trả phí, lưu trữ… Thật đau đầu để phân biệt chúng. Đây là lựa chọn của chúng tôi về CMS tốt nhất để tạo trang web của bạn một cách dễ dàng!
Đọc thêm
