4 triệu website WordPress đối mặt với rủi ro khi lỗ hổng bảo mật được phát hiện

Cửa hàng gần nhất

được xác nhận bởi itcctv

4 triệu website WordPress đối mặt với rủi ro khi lỗ hổng bảo mật được phát hiện

Theo Wordfence, việc cập nhật phiên bản LiteSpeed Cache cho các quản trị trang web sử dụng WordPress là cần thiết để ngăn chặn khả năng bị khai thác.

Trên blog cá nhân, nhóm thông tin của Wordfence đã tiết lộ trách nhiệm với việc phát hiện lỗ hổng bảo mật XSS trong plugin LiteSpeed Cache, một tiện ích phổ biến đã được cài đặt trên hơn 4 triệu website WordPress. Lỗ hổng này cho phép tin tặc sử dụng shortcode để chèn mã độc hại vào trang web.

Hình ảnh: Lỗi bảo mật khiến 4 triệu website WordPress gặp nguy hiểm.

LiteSpeed Cache là một plugin tăng tốc website WordPress bằng bộ đệm và hỗ trợ tối ưu hóa cấp máy chủ. Phần bổ sung này cung cấp một mã ngắn (shortcode) để lưu trữ các khối bằng công nghệ Edge Side khi được thêm vào WordPress.

Tuy nhiên, Wordfence đã cảnh báo rằng việc triển khai shortcode của plugin không an toàn, có thể tạo điều kiện cho việc chèn các tập lệnh tùy ý vào các trang. Phân tích mã dễ bị tấn công đã chỉ ra rằng phương thức shortcode không kiểm tra đầy đủ đầu vào và đầu ra, mở ra cơ hội cho các tác nhân đe dọa thực hiện các cuộc tấn công XSS. Khi được thêm vào trang hoặc bài đăng, tập lệnh này sẽ được thực thi mỗi khi người dùng truy cập.

Hình ảnh với tiêu đề "Lỗi bảo mật đe dọa 4 triệu website WordPress" được tải từ URL: https://itcctv.s3.ap-southeast-1.amazonaws.com/blogs/dNeKjjGAZFwgIB9p9ercJaBpYBMvyb1epu7SnvpJ.jpg

The vulnerability requires a compromised contributor account or allows users to register as contributors. According to Wordfence, attackers could potentially steal sensitive information, manipulate website content, target administrators, edit files, or redirect visitors to malicious websites.

The Wordfence team contacted the LiteSpeed Cache development team on August 14th. A patch was deployed on August 16th and released on WordPress on October 10th. Users are advised to update LiteSpeed Cache to version 5.7 to fully address this security issue. Despite the severity of the threat, Wordfence's built-in Cross-Site Scripting protection feature has helped prevent exploitation of this vulnerability.