Nhiều lỗ hổng đã được phát hiện trong NextGEN Gallery, một trong những plugin được người dùng WordPress sử dụng nhiều nhất. Mặc dù các nhà phát triển đã tung ra bản cập nhật vá các lỗ hổng nhưng hầu hết người dùng vẫn chưa cài đặt bản cập nhật mới.
Ngày nay, nó là một trong những lựa chọn đầu tiên của những người muốn phát triển trang web. WordPress nền tảng. WordPress, có thể được sử dụng bởi bất kỳ ai có hoặc không có kinh nghiệm, tiếp tục duy trì mức độ phổ biến của nó trong thế giới internet nhờ thư viện plugin rộng rãi và dễ sử dụng sẽ thu hút mọi người dùng.
Tuy nhiên, ngày nay, một cảnh báo quan trọng đã được đưa ra về một trong những plugin phổ biến nhất của WordPress. Plugin thư viện được phát hành năm 2007 và được sử dụng trên hơn 800 nghìn trang web WordPress đang hoạt động tại Phòng trưng bày NextGEN Nhiều lỗ hổng đã được phát hiện. Các nhà phát triển ứng dụng đã cố gắng đóng các lỗ hổng được phát hiện và đảm bảo rằng tất cả người dùng của họ họ cần cập nhật plugin nói.
Trang web có thể bị hack trực tiếp:
Các lỗ hổng được Wordfence Threat Intelligence phát hiện bao gồm hai “giả mạo yêu cầu trên nhiều trang web (CSRF/XSRF)Lỗ hổng được đặt tên là “. Các lỗ hổng được các nhà nghiên cứu xác định là “tính bạo lực cao” Và “phê bìnhCác lỗ hổng có khả năng dẫn đến việc chiếm quyền điều khiển trang web.
Kẻ tấn công muốn khai thác các lỗ hổng trong plugin trước tiên phải lừa được quản trị viên WordPress bằng cách nào đó. Sau giai đoạn này, có thể được hoàn thành bằng các liên kết độc hại hoặc mồi nhử, kẻ tấn công có thể thêm các liên kết độc hại và cơ chế lừa đảo vào trang web. Hơn thế nữa kiểm soát trang web hoàn toàn được truyền lại cho họ.
Wordfence tuyên bố trong bài đăng trên blog của mình rằng cuộc tấn công này có một mức độ nhất định. đòi hỏi kỹ thuật xã hội bày tỏ. Mặc dù các nhà phát triển plugin NextGEN Gallery đã phát hành bản cập nhật giúp vá các lỗ hổng bảo mật nhưng bản cập nhật này vẫn chưa đạt được mục tiêu. Các nhà phát triển thông báo rằng cho đến nay, 300 nghìn người dùng đã cài đặt bản cập nhật cần thiết và các trang web của 500 nghìn người dùng còn lại không an toàn.
Nguồn: https://www.techradar.com/news/update-this-popular-wordpress-plugin-immediately-thousands-of-users-warned
