Nhiều lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Plugin nổi tiếng nhất “All in One SEO Pack” cho WordPress đặt hàng triệu trang Web sử dụng WordPress có nguy cơ bị ảnh hưởng.
WordPress là một mã nguồn mở dễ dàng cài đặt và sử dụng, do đó rất nhiều người ưa thích sử dụng nó. Nhưng nếu bạn hay công ty của bạn đang sử dụng Plugin “All in One SEO Pack” để tối ưu hóa xếp hạng trang Web trên các bộ máy tìm kiếm thì bạn nên cập nhật ngay lập tức phiên bản mới nhất All in One SEO Pack 2.1.6.
Hôm nay, nhóm plugin “All in One SEO Pack” đã phát hành một bản vá lỗi bảo mật khẩn cấp hai lỗ hổng leo thang đặc quyền nguy hiểm và một lỗ hổng Cross Site Scripting (XSS) được phát hiện bởi các nhà nghiên cứu bảo mật tại Sucuri – một dịch vụ giám sát web và phần mềm độc hại.
Hơn 73 triệu trang web trên Internet chạy các trang web của họ trên nền tảng WordPress và hơn 15 triệu trang web hiện đang sử dụng “All in One SEO Pack” để tối ưu hóa công cụ tìm kiếm.
Theo báo cáo của Sucuri, các lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thêm và sửa đổi thông tin meta của trang web WordPress, có thể ảnh hướng tiêu cực tới kết quả xếp hạng trên các máy tìm kiếm.
“Trong trường hợp đầu tiên khi người dùng đã đăng nhập mà không sở hữu bất kỳ loại đặc quyền quản trị (như tác giả của người theo dõi), có thể thêm hoặc sửa đổi một số thông số được sử dụng bởi plugin. Nó bao gồm tiêu đề SEO của bài viết, mô tả và thẻ meta từ khóa.”
Ngoài ra các báo cáo về lỗ hổng Cross-Site Scripting có thể bị khai thác bởi hacker để thực thi các đoạn mã JavaScript độc hại trên bảng điều khiển của quản trị viên. “Điều này có nghĩa rằng một kẻ tấn công có khả năng có thể tiêm bất kỳ mã JavaScript và làm những việc như thay đổi mật khẩu tài khoản của người quản trị để để lại một số backdoor trong các tập tin trang web của bạn để sau đó thực hiện nhiều hơn các hành động trái phép.”
Lỗ hổng bảo mật trong những plugin của WordPress là nguyên nhân chính dẫn tới đa số các cuộc tấn công WordPress. Các lỗ hổng plugin có thể khai thác để truy cập các thông tin nhạy cảm, thay đổi giao diện trang Web, chuyển hướng người truy cập tới các trang chứa mã độc hoặc thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
Cho tới thời điểm hiện tại, chúng tôi chưa thấy bất kì cuộc tấn công nào nhưng khuyến cáo các chủ trang Web sử dụng WordPress cập nhật phiên bản mới nhất của plugin “All in One SEO Pack” ngay lập tức!
Theo TheHackerNews.