Công nghệ

Lỗi trong plugin Trò chuyện trực tiếp của WordPress cho phép kẻ tấn công tiêm mã độc

Quản trị viên trang web sử dụng plugin Hỗ trợ trò chuyện trực tiếp dành cho WordPress được khuyến nghị cập nhật lên phiên bản plugin mới nhất để ngăn chặn lỗ hổng Cross-Site Scripting (XSS) có thể bị lạm dụng mà không cần xác thực.

Plugin Trò chuyện Trực tiếp WordPress hiện đã được cài đặt trên hơn 60.000 trang web và Plugin trò chuyện trực tiếp của WordPress đã được giới thiệu như một giải pháp thay thế miễn phí cho chức năng trò chuyện để thu hút khách hàng.

Nguy cơ bị tấn công tự động

Các nhà nghiên cứu tại Sucuri đã phát hiện ra các phiên bản plugin trước 8.0.27 dễ bị tấn công Lỗ hổng trên Cross-Site Scripting (XSS) và có thể bị khai thác từ xa bởi kẻ tấn công không có tài khoản trên trang web bị ảnh hưởng.

Không cần phải xác thực trên trang web mục tiêu, những kẻ tấn công có thể tự động tấn công số lượng lớn nạn nhân. Thêm vào đó là tính phổ biến của plugin và nỗ lực khai thác thấp, có thể dẫn đến các cuộc tấn công tự động.

Lỗ hổng XSS được đánh giá là khá nghiêm trọng. Lỗ hổng này cho phép những kẻ tấn công tiêm mã độc (như Wanna Cry) vào các trang web hoặc ứng dụng web và xâm nhập tài khoản của khách truy cập hoặc thêm mã độc vào nội dung trang đã sửa đổi. .

XSS có thể “dai dẳng” nếu mã độc được thêm vào một phần được lưu trữ trên máy chủ, chẳng hạn như nhận xét của người dùng. Khi người dùng tải một trang bị nhiễm, mã độc sẽ được phân tích cú pháp của trình duyệt để hoàn thành các hướng dẫn của kẻ tấn công.

Theo các nhà nghiên cứu bảo mật của Sucuri, việc khai thác có thể do một “admin_init hook” không được bảo vệ – vector tấn công các plugin phổ biến của WordPress.

Các nhà nghiên cứu cũng bổ sung thêm chức năng “wplc_head_basic ”Không được sử dụng để chạy kiểm tra đặc quyền thích hợp cho các bản cập nhật cài đặt plugin WordPress.

Sau đó, chức năng chạy để kiểm tra các đặc quyền quan trọng hơn như trong hình minh họa bên dưới:

loi trong plugin trò chuyện trực tiếp của wordpress để trò chuyện miễn phí doc 2

Vì admin_init có thể được gọi bằng cách truy cập /wp-admin/admin-post.php hoặc /wp-admin/admin-ajax.php , kẻ tấn công chưa được xác thực có thể sử dụng các điểm cuối này để tùy chọn cập nhật các tùy chọn wplc_custom_js “.

Nội dung của tùy chọn hiện diện trên mọi trang hỗ trợ trò chuyện trực tiếp, vì vậy kẻ tấn công nhắm mục tiêu vào một trang web dễ bị tấn công có thể đưa mã JavaScript vào nhiều trang.

Sucuri đã báo cáo vấn đề này cho các nhà phát triển plugin vào ngày 30 tháng 4, phiên bản vá lỗi đã được phát hành vào thứ Tư.


WordPress là công cụ tạo website tốt nhất hiện nay, người dùng chọn cách thiết kế và tạo blog bằng WordPress khá phổ biến vì không cần biết code vẫn có thể tạo được, tuy nhiên để bắt đầu thì bạn cần cài đặt WordPess trước. . trên máy tính của bạn, hãy tham khảo cách cài đặt WordPress ở đây.

.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button