Nền tảng Wordpress dính lỗ hổng bảo mật nguy hiểm

12:22 30/06/2018
Một lỗ hổng nguy hiểm đang tồn tại trong tất cả các phiên bản của Wordpress - một nền tảng xây dựng website phổ biến cho phép hacker xóa các tệp tin trên máy chủ và chiếm quyền điều khiển - tin từ Công ty an ninh mạng CyStack cho biết.

Theo các chuyên gia của CyStack, lỗ hổng này nằm trong chức năng xóa bài viết của Wordpress, tin tặc có thể lợi dụng việc gửi yêu cầu xóa lỗ hổng để chèn vào các đoạn mã độc, từ đó có thể xóa bất cứ tập tin nào trên máy chủ.

Cụ thể, khi thực hiện xóa bài, Wordpress sẽ xoá cả tập tin thumb tương ứng với bài viết đó nếu tồn tại và việc xoá tệp tin này không thông qua các bước kiểm tra an ninh. Khi đó, hacker có thể thay đổi giá trị của biến thumb của bài viết để xóa bất cứ tệp tin nào.

Việc này có thể gây ra những thiệt hại vô cùng lớn cho các website và có thể khiển chủ nhân website mất dữ liệu vĩnh viễn nếu các dữ liệu không được sao lưu. Khai thác lỗ hổng này tin tặc thực hiện thêm nhiều chiêu thức tấn công khác, kể cả tạo tài khoản quản trị mới để chiếm quyền điều hành.

Các chuyên gia của CyStack cho biết thêm, hiện tại, wordpress chưa tung ra bất cứ bản vá nào cho lỗ hổng này. Ngay phiên bản mới nhất của Wordpress là 4.9.6 cũng đang tồn tại lỗ hổng bảo mật nêu trên. Để tránh phải trở thành nạn nhân và thiệt hại cho các website, CyStack khuyến nghị quản trị viên của các trang web cần thực hiện nhưng biện pháp vá nóng cho lỗ hổng.

Các quản trị viên các website có thể phòng tránh thiệt hại tạm thời bằng các phương án: Rà soát lại danh sách người dùng và các quản trị viên của website, đặc biệt là những người có chức năng đăng bài lên website; chỉ nên giữ lại các tài khoản thực sự tin tưởng; Thực hiện backup toàn bộ dữ liệu của website để tránh trường hợp bị tin tặc tấn công, phá hoại; Áp dụng bản Hotfix đã được các nhà nghiên cứu đưa ra bằng việc lập trình thêm một hàm “filter hook” để ngăn chặn việc xóa tệp tin từ người dùng.

V.Cường (tổng hợp)
# chiếm quyền điều khiển lỗ hổng bảo mật Wordpress
Facebook Twitter Link gốc
Các tin khác
Miền Trung mưa to nhiều nơi, Hà Nội nắng hanh

Theo dự báo, hôm nay khu vực miền Trung, nhiều tỉnh thành phố sẽ có mưa to và dông. Thủ đô Hà Nội duy trì trạng thái rét về đêm và sáng, ngày nắng hanh với nhiệt độ cao nhất ở mức 27 độ C.

Công an Hà Nội kết nối bình yên qua hotline tố giác tội phạm ma tuý

Tối 20/12, tại Quảng trường Đông Kinh Nghĩa Thục, Công an TP Hà Nội phối hợp cùng các đơn vị chức năng tổ chức chương trình Giao lưu nghệ thuật đặc biệt và Lễ phát động phong trào với chủ đề: "Hà Nội - Khát vọng Xanh - Chung một quyết tâm xây dựng xã, phường không ma túy".

SEA Games 33 và dấu ấn của thể thao Hà Nội

Kết thúc SEA Games 33, Đoàn Thể thao Việt Nam giành tổng cộng 278 huy chương, gồm 87 Huy chương Vàng, 81 Huy chương Bạc và 110 Huy chương Đồng, tiếp tục khẳng định vị thế trong nhóm dẫn đầu khu vực. Trong bức tranh thành tích chung ấy, thể thao Hà Nội nổi bật như một trụ cột khi đóng góp tới 79 huy chương, cho thấy vai trò đầu tàu và sức lan tỏa mạnh mẽ của trung tâm thể thao lớn nhất cả nước.

Cựu Thư ký Phó Chủ nhiệm Văn phòng Chính phủ đã nhận bao nhiêu tiền của doanh nghiệp?

Bị can Nguyễn Nam Khánh (cựu Thư ký Phó Chủ nhiệm Văn phòng Chính phủ) bị cáo buộc có hành vi lợi dụng ảnh hưởng đối với người có chức vụ, quyền hạn để trục lợi. Theo đó, Khánh nhận từ Công ty TSL và Công ty Avatek nhiều tỷ đồng để để đưa hối hộ, “cám ơn”, chúc Tết và hưởng lợi cá nhân.

Đề nghị truy tố cựu Thư ký Phó Chủ nhiệm Văn phòng Chính phủ và đồng phạm

Trong số 100 bị can có Nguyễn Nam Khánh (cựu Thư ký Phó Chủ nhiệm Văn phòng Chính phủ) bị đề nghị truy tố về tội “Lợi dụng ảnh hưởng đối với người có chức vụ, quyền hạn để trục lợi”; Đoàn Hữu Lượng (Chủ tịch HĐTV Công ty TSL) và Hồ Thị Thanh Phương (Giám đốc điều hành TSL, sau đó là Giám đốc điều hành Công ty Avatek) bị đề nghị truy tố về hai tội “Giả mạo trong công tác” và “Đưa hối lộ”.

Giữa đêm thoát bẫy lừa đảo ở Campuchia, hai thanh niên được Công an xã cứu giúp

Chiều 20/12, Công an xã Bến Cầu (tỉnh Tây Ninh) cho biết, vừa kịp thời phát hiện, ngăn chặn hai nam thanh niên bị lừa xuất cảnh trái phép qua Campuchia. Cơ quan Công an đã liên hệ với gia đình Nguyễn Văn N. (SN 2001) và Lê Anh T. (SN 1988, cùng ngụ xã Chợ Mới, tỉnh An Giang; tạm trú phường thuận giao, TP Hồ Chí Minh) đến đón về nhà an toàn.

Liên tiếp chịu ảnh hưởng bão lũ, du lịch Huế vẫn tăng trưởng mạnh mẽ

Do ảnh hưởng liên tiếp của bão lũ, đặc biệt là các đợt lũ lịch sử cuối tháng 10 và đầu tháng 11 vừa qua đã ảnh hưởng nghiêm trọng đến du lịch - ngành kinh tế mũi nhọn của Huế. Thế nhưng với sự nỗ lực của thành phố cùng với đó là địa phương được chọn làm tâm điểm của du lịch cả nước khi đăng cai Năm Du lịch quốc gia nên ngành du lịch Huế vẫn tăng trưởng mạnh mẽ.

Bóng tối online soi bản ngã

Khi bản ngã của những tâm hồn tội lỗi được bóng tối online đồng lõa, bỗng chốc hóa thành bi kịch. Từ bạo lực để lấy view đến thử thách tử thần, bóng tối online tràn ra đời thật với những cú nổ khiến cả xã hội lạnh gáy. Ngoài việc đồng lõa, nó còn phản chiếu một sự thật: Con người ta đã tìm thấy bản ngã của mình ở trong một thế giới u tối, nơi tên thật được thay thế bằng nick ảo và ngay đến ảnh đại diện, cũng không nhất thiết phải là mình.

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.
English | 中文