Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Các lỗ hổng nghiêm trọng của WooCommerce trong Wordpress

author Bùi Tấn Việt - 2021-08-25 15:21:24 (GMT+7)

Vào ngày 13 tháng 7, hai lỗ hổng SQL Injection nghiêm trọng của plugin WooCommerceWooCommerce Blocks đã được phát hiện và được vá.
 
Các lỗ hổng SQL Injection cho phép các hacker có thể thực hiện các truy vấn SQL để đọc, ghi hoặc chỉnh sửa cơ sở dữ liệu của website. Một số trường hợp việc khai thác SQL Injection có thể thực hiện bằng tay, hoặc đơn giản hơn là sử dụng các công cụ như sqlmap
 
Các lỗ hổng bảo mật đã được báo cáo cho Automattic (nhà phát triển plugin WooCommerce) thông qua chương trình HackerOne bug bounty. Xuất hiện lỗ hổng này là do việc sử dụng sai hàm sanitize_text_field của Wordpress. Hàm này được sử dụng để bảo vệ khỏi các lỗ hổng Cross-Site Scripting (XSS), nhưng lập trình viên lại sử dụng nó để bảo vệ khỏi lỗ hổng SQL Injection.
 
Automattic đã phát hành các bản cập nhật bắt buộc cho các plugin ngay cả khi nó đã bị tắt, để đảm bảo rằng website của người dùng dùng được vá và bảo vệ. Tuy nhiên, cập nhật bắt buộc không bao giờ có hiệu quả 100%, điều này có thể khiến nhiều website vẫn gặp rủi ro. Để đảm bảo rằng bạn không dễ bị tấn công, hãy đảm bảo rằng bạn đang chạy một phiên bản plugin mới nhất.
 
Kể từ khi các lỗ hổng trên được công bố, đã có các báo cáo bị tấn công bằng lỗ hổng này. Đồng thời hổng tại plugin WooCommerce Blocks nghiêm trọng hơn bởi hacker có thể tấn công mà không cần đăng nhập, việc khai thác lỗ hổng mà không cần đăng nhập với user được phân quyền sẽ dễ dàng hơn nhiều.
 
Xem thêm các thông tin về lỗ hổng này tại:

Để bảo vệ bản thân khỏi những lỗ hổng này, hãy đảm bảo rằng bạn đang chạy phiên bản plugin WooCommerceWooCommerce Blocks mới nhất!

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021

tin.123host.vnTechnology news 24 hours

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm