Cảnh báo lỗ hổng bảo mật XSS trên plugins FB Messenger Live Chat của WORDPRESS

1
461 views

Cảnh báo lỗ hổng bảo mật XSS trên plugins FB Messenger Live Chat của wordpress

Một lỗ hổng bảo mật khá nghiêm trọng của plugins Live Chat with Facebook Messenger đã được phát hiện thời gian gần đây. Lỗ hổng này cho phép tin tặc thay đổi các thiết lập của plugins mà không cần phải đăng nhập vào wp-admin.

Facebook Livechat XSS Bug
Facebook Livechat XSS Bug

Lỗ hổng được khai thác thông qua function update_zb_fbc_code (), lỗ hổng này , có thể truy cập thông qua chức năng AJAX của WordPress mà không cần phải đăng nhập.

Chức năng này đã không được filter một cách đầy đủ để có thể ngăn chặn một cuộc tấn công CSRF trước khi cho phép thay đổi cài đặt:

Như chúng ta có thể dễ dàng nhận thấy, function trên chỉ sử dụng hàm addlash () để filter dữ liệu, và điều đó là không đủ để ngăn chặn các cuộc tấn công.

Theo ước tính có khoảng 30000 người đã tải và cài đặt plugins này. Và hiện tại theo ghi nhận của HOSTVN trong thời gian vừa qua thì có rất nhiều khách hàng sử dụng plugins này bị hacker tấn công và chèn thêm các đoạn script redirect, việc này dẫn đến khi truy cập website sẽ bị redirect sang một website khác.

HOSTVN khuyến nghị khách hàng nên update plugins lên phiên bản mới nhất hoặc gỡ bỏ plugins này ra khỏi website để tránh nguy cơ bị khai thác.

1
Comment của bạn

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
Loan Hưởng Recent comment authors
  Subscribe  
mới nhất cũ nhất bình chọn nhiều nhất
Notify of
Loan Hưởng

Thảo nào, hôm kia site mình vào toàn redriect sang trang linh tinh, tuy nhiên vẫn vào Admin bình thường. Sau đó update các plugin lên, update core WordPress lên thì mọi thứ lại bình thường. Đang không hiểu tại sao như kiểu VPS bị xâm nhập.