Cảnh báo lỗ hổng bảo mật nguy hiểm trong nền tảng Wordpress
(THPL) - Một lỗ hổng nguy hiểm ở tất cả các phiên bản của Wordpress cho phép tin tặc xoá các tập tin trên máy chủ và chiếm quyền điều khiển website
Tin liên quan
- App MBBank: Xác thực khuôn mặt, an tâm chuyển tiền
Hàng triệu xe Honda CR-V và Accord bị điều tra vì lỗi phanh khẩn cấp
Các hãng xe đua nhau khuyến mại, kích cầu mua sắm dịp lễ 30/4 - 1/5
Yêu cầu gỡ bỏ các thiết bị kích sóng trên các website bán hàng, sàn TMĐT
Lỗi kẹt chân ga, Tesla triệu hồi hơn 3.000 chiếc Cybertruck 2024
Theo Công ty an ninh mạng CyStack, lỗ hổng này nằm trong chức năng xóa bài viết của Wordpress, tin tặc có thể lợi dụng việc gửi yêu cầu xóa lỗ hổng để chèn vào các đoạn mã độc, từ đó có thể xóa bất cứ tập tin nào trên máy chủ.
Cụ thể, khi thực hiện xóa bài, Wordpress sẽ thực hiện xóa cả tập tin thumb tương ứng với bài viết đó nếu tồn tại. Thông tin về tập tin thumb được gửi lên từ biến post trong gói tin HTTP.
Việc xóa tập tin này không thông qua các bước kiểm tra an ninh. Khi đó, hacker có thể thay đổi giá trị của biến thumb của bài viết để xóa bất cứ tập tin nào.
Chuyên gia Công ty CyStack cũng cho hay, các tệp tin bị xoá có thể là bất kỳ tập tin nào trên thư mực hosting của website. Bao gồm cả những tệp quan trọng như ".htaccess" (chứa một số thông số bảo mật), "index.php", "wp-config.php" (tệp tin cấu hình của website)...
“Việc này có thể gây ra những thiệt hại vô cùng lớn cho các website và có thể khiển chủ nhân website mất dữ liệu vĩnh viễn nếu các dữ liệu không được sao lưu. Khai thác lỗ hổng này tin tặc thực hiện thêm nhiều chiêu thức tấn công khác, kể cả tạo tài khoản quản trị mới để chiếm quyền điều hành”, đại diện CyStack nêu.
Các chuyên gia Công ty CyStack cho biết thêm, hiện tại, wordpress chưa tung ra bất cứ bản vá nào cho lỗ hổng này. Ngay phiên bản mới nhất của Wordpress là 4.9.6 cũng đang tồn tại lỗ hổng bảo mật nêu trên. Để tránh phải trở thành nạn nhân và thiệt hại cho các website, CyStack khuyến nghị quản trị viên của các trang web cần thực hiện nhưng biện pháp vá nóng cho lỗ hổng.
Hiện nay, chưa có cách khắc phục triệt để cho lỗ hổng này. Chuyên gia CyStack hướng dẫn quản trị viên các website có thể phòng tránh thiệt hại tạm thời bằng các phương án: Rà soát lại danh sách người dùng và các quản trị viên của website, đặc biệt là những người có chức năng đăng bài lên website; chỉ nên giữ lại các tài khoản thực sự tin tưởng;
Thực hiện backup toàn bộ dữ liệu của website để tránh trường hợp bị tin tặc tấn công, phá hoại; Áp dụng bản Hotfix đã được các nhà nghiên cứu đưa ra bằng việc lập trình thêm một hàm “filter hook” để ngăn chặn việc xóa tệp tin từ người dùng.
Tin khác
-
Tập đoàn Đèo Cả tổ chức hội nghị với các đối tác chiến lược
-
Quảng Ninh sắp thông xe kỹ thuật đường nối cầu Bến Rừng
-
Hậu Lộc, Thanh Hóa: Nhiều hoạt động ý nghĩa chào mừng ngày lễ lớn của đất nước
-
Thiệu Hóa - Thanh Hóa: Khánh thành nhiều dự án giao thông quan trọng
-
Hanoi Great Souvenirs 2024: Cơ hội để doanh nghiệp quảng bá, mở rộng thị trường
-
Doanh nghiệp Việt cần lưu ý về nhãn mác thực phẩm khi xuất khẩu vào Singapore
App MBBank: Xác thực khuôn mặt, an tâm chuyển tiền
(THPL) - Với tính năng bảo mật hai lớp, xác thực sinh trắc học trên App MBBank, người dùng có thể “gấp đôi” an tâm khi chuyển tiền qua ứng...26/04/2024 09:26:00Thủ tướng chỉ đạo tập trung tìm kiếm nạn nhân mất tích tại thị xã Quảng Yên
(THPL) - Liên quan đến sự cố chìm thuyền trên sông Chanh, Thủ tướng Chính phủ đã có công điện yêu cầu Chủ tịch UBND tỉnh Quảng Ninh chỉ...26/04/2024 10:03:07Thanh Hoá: Huyện Nông Cống sắp có thêm khu công nghiệp công nghệ cao Tượng Lĩnh 353 ha
(THPL) - UBND tỉnh Thanh Hoá vừa có quyệt định phê duyệt đồ án Quy hoạch phân khu xây dựng tỷ lệ 1/2000 Khu công nghiệp Tượng Lĩnh, huyện...26/04/2024 08:19:31Giá vàng và ngoại tệ ngày 26/4: Vàng tăng mạnh, USD trượt giá
(THPL) - Giá vàng tăng trở lại còn do lực cầu bắt đáy gia tăng khi vàng chạm tới ngưỡng hỗ trợ mạnh 2.300 USD/ounce. Nhiều chuyên gia cho rằng,...26/04/2024 08:16:03
ĐỌC NHIỀU NHẤT
Quảng bá thương hiệu Việt
-
App MBBank: Xác thực khuôn mặt, an tâm chuyển tiền
(THPL) - Với tính năng bảo mật hai lớp, xác thực sinh trắc học trên App MBBank, người dùng có thể “gấp đôi” an tâm khi chuyển tiền qua ứng dụng ngân hàng, đặc biệt là đối với những giao dịch lớn. - Cộng đồng runner ngóng chờ giải chạy VPBank Can Tho Music Night Run 2024
- Vietjet công bố đường bay mới TP. Hồ Chí Minh – Tây An (Trung Quốc)
- Du lịch Việt Nam có thêm điểm đến mới khiến giới thượng lưu khắp toàn...
Tôn vinh thương hiệu toàn cầu
-
Văn Phú – Invest: Xây chắc nền tảng, hướng tới tương lai
(THPL) - Ngày 24/04, tại Hà Nội, Công ty Cổ phần Đầu tư Văn Phú - Invest đã tổ chức thành công cuộc họp Đại hội đồng cồ đông thường niên năm 2024. Với mục tiêu giữ vững ổn định, song song với việc tiếp tục phát triển kinh doanh, doanh nghiệp sẽ tiếp tục triển khai loạt dự án tại các địa bàn mang tính trọng điểm và nằm trong kế hoạch chiến lược tầm nhìn đến năm 2032. - SHB năm thứ hai liên tiếp được vinh danh Ngân hàng có hoạt động tài trợ...
- Công bố thêm 1 nhà máy đạt trung hòa carbon, Vinamilk tiến nhanh trên hành trình...
- Quý 1/2024: Techcombank báo lãi 7.802 tỷ đồng, quán quân tỷ lệ CASA ở mức...