Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
WordPress

800 nghìn Website WordPress bị ảnh hưởng bởi lỗ hổng từ plugin All In One SEO

author Đặng Hoài Đức - 2021-12-23 10:16:11 (GMT+7)

Hai lổ hổng bảo mật nghiêm trọng trong plugin  WordPress rất phổ biến có tên gọi All In One SEO phiên bản từ 4.0.0 đến 4.1.5.2. Điều này đã khiến hơn 3 triệu Website WordPress dễ bị tấn công bất cứ lúc nào.

Hai lỗ hổng nghiêm trọng có mã định danh lần lượt là CVE-2021-25036CVE-2021-25037. Lỗ hổng thứ nhất là lỗi nâng cấp đặc quyền xác thực và lỗ hổng thứ hai là lỗi SQL Injection

Hơn 800.000 Website WordPress đang là mục tiêu tấn công

Nhà phát triển plugin All In One SEO đã phát hành bản vá mới nhất với phiên bản 4.1.5.3 cho hai lỗ hổng trên vào ngày 7/12/2021. Mặc dù vậy, vẫn có hơn 800 nghìn Website WordPress vẫn chưa cập nhật bản vá này và rất dễ trở thành mục tiêu. 

Điều làm hai lỗ hổng này trở nên nguy hiểm là hacker chỉ cần tạo người dùng trên website với vài trò (roles) mặc định (Subcribers) là có thể khai thác. Hacker sẽ khai thác để nâng cao đặc quyền của mình, thực thi mã từ xa (RCE) và chiếm quyền quản trị website. 

Người dùng với vai trò Subcribers là phân quyền thấp nhất trong trang quản trị WordPress, và là quyền mặc định khi đăng ký thành viên. Ngoài ra WordPress còn có các quyền cao hơn như Người đóng góp (Contributor), Tác giả (Author), Người biên tập (Editor) và Quản trị viên tối cao (Administrator).

Khuyến khích cập nhật plugin càng sớm càng tốt

Các hacker khai thác lỗ hổng CVE-2021-25036 rất dễ dàng nếu website WordPress sử dụng plugin All In One SEO có phiên bản 4.0.0 đến 4.1.5.2. Bằng cách "thay đổi một ký tự thành chữ hoa".

Các quản trị viên Website WordPress đang sử dụng plugin All In One SEO từ phiên bản 4.0.0 đến 4.1.5.2 được khuyên nên cập nhật bản vá 4.1.5.3 ngay lập tức.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến WordPress bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

WORDPRESS
Lỗ hổng trong một plugin WordPress cho phép hacker xoá cơ sở dữ liệu website
author Đặng Hoài Đức 28 Tháng mười, 2021

WORDPRESS
WordPress 5.8.1 chính thức ra mắt - khắc phục 3 lỗi bảo mật và 60 lỗi về tính năng
author Đặng Hoài Đức 9 Tháng chín, 2021

tin.123host.vnTechnology news 24 hours

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm