Thời gian gần đây theo ghi nhận của HOSTVN wordpress phiên bản từ 5.2.3 trở xuống dính hoàng loạt lỗi bảo mật nghiêm trọng gây ảnh hưởng lớn tới người dùng.
Chi tiết các lỗ hổng bảo mật được phát hiện gần đây như sau:
Mục lục
1. Lỗ hổng CSRF Admin Referrer Validation
Lỗ hổng này khiến cho wordpress không thể xác minh được các request có hợp lệ hay không và có phải được gửi lên từ tài khoản quản trị hay không.
2. Lỗ hổng JSON Request Cache Poisoning
Lỗ hổng này khiến các Json Request Cache theo phương thức Get dễ dàng bị nhiễm độc.
3. Lỗ hổng Server-Side Request Forgery (SSRF) in URL Validation
Lỗ hổng này giúp kẻ tấn công có thể giả mạo yêu cầu phía máy chủ (SSRF) do lỗi Validation (Xác thực) URL .
4. Lỗ hổng XSS trong Customizer
Kẻ tấn công có thể khai thác lỗ hổng XSS tại trang Customizer
5. Lỗ hổng XSS trong Style Tags
Kẻ tấn công có thể chèn các script độc hại vào Style thông qua lỗ hổng XSS
6. Lỗ hổng Unauthenticated View Private/Draft Posts
Kẻ tấn công có thể xem và sửa đổi nội dung Private/Draft Posts do lỗi xác thực của wordpress.
Các lỗ hổng này hiện đã được fix tại phiên bản wordpress 5.2.4 vì vậy HOSTVN khuyến cáo quý khách hàng nên nhanh chóng nâng cấp phiên bản wordpress của mình lên 5.2.4
Ngoài ra quý khách có thể tham khảo một số hướng dẫn bảo mật cho wordpress của HOSTVN tại đây:
