Lỗ hổng bảo mật WP Bakery WordPress

Tác giả : Vân Anh   Kiểm tra bởi Anh Nguyễn
WP Bakery WordPress
WP Bakery WordPress

Các nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật WP Bakery WordPress cho phép kẻ tấn công đưa JavaScript độc hại vào các trang và bài đăng. Sự thiếu bảo mật cho phép kẻ tấn công đưa mã vào các trang và bài đăng sau đó tấn công trình duyệt của khách truy cập trang web.

Lỗ hổng bảo mật được xác thực trong XSS

Lỗ hổng trong cross-site scripting có đặc điểm hay bị các hacker tấn công trình duyệt của khách truy cập thông qua việc sử dụng các tập lệnh độc hại được đặt lén lút trên một trang web.

Cross-site scripting là gì?
Cross-site scripting là gì?

Các cuộc tấn công XSS là một trong những loại lỗ hổng phổ biến nhất.

Cuộc tấn công cụ thể này được gọi là lỗ hổng Authenticated Stored Cross-Site Scripting. Lỗ hổng XSS được lưu trữ là lỗ hổng trong đó kẻ tấn công đặt tập lệnh vào chính website.

Nhưng đây là lỗ hổng XSS đã được xác thực. Điều này có nghĩa là các hacker phải có thông tin xác thực website thì mới tấn công được.

Điều này tạo ra ít rủi ro hơn. Vì nó yêu cầu kẻ tấn công thực hiện thêm một bước để có được thông tin xác thực.

Lỗ hổng XSS lưu trữ trong WP Bakery được xác thực

Sự thiếu sót trong WP Bakery WordPress yêu cầu kẻ tấn công duy trì quyền người đóng góp hoặc quyền tác giả đăng thông tin xác thực lên trang web.

Sau khi kẻ tấn công có thông tin đăng nhập, chúng có thể đưa các tập lệnh vào bất kỳ bài đăng hoặc website nào. Nó cũng cung cấp cho kẻ tấn công khả năng thay đổi các bài đăng được tạo bởi những người dùng khác.

Các sai sót đã cho phép đưa HTML, JavaScript vào các bài đăng hoặc trang của người dùng được ủy quyền và cả những trang của tác giả khác. Ngoài ra, có một lỗ hổng cụ thể khác nhắm mục tiêu vào các nút có chức năng JavaScript gắn liền với nó.

Theo WordFence:

“Plugin có chức năng onclick tùy chỉnh cho các nút. Điều này khiến kẻ tấn công có thể đưa JavaScript độc hại vào nút ấn và khi nhấn vào nút đó thì nó sẽ hoạt động. Hơn nữa, người dùng được cấp quyền cộng tác viên và tác giả có thể sử dụng vc_raw_js, vc_raw_html bằng cách sử dụng mã ngắn custom_onclick để thêm JavaScript độc hại vào bài đăng.

Ảnh hưởng của WP Bakery Page Builder 6.4

Lỗ hổng này được phát hiện vào cuối tháng 7 năm 2020. WP Bakery đã phát hành bản sửa vào cuối tháng 8. Nhưng các vấn đề khác vẫn còn, bao gồm cả trong bản sửa đổi thứ 2 được phát hành vào đầu tháng 9.

Bản cập nhật cuối cùng đã được sửa lỗ hổng bảo mật và phát hành vào ngày 24 tháng 9 năm 2020.

Các nhà lập trình phần mềm plugin xuất bản một bản ghi các thay đổi. Nội dung bản thay đổi là những gì hiển thị trong khu vực plugin quản trị WordPress thông báo nội dung của bản cập nhật.
Thật không may, thay đổi của WP Bakery không phản ánh mức độ khẩn cấp của bản cập nhật vì nó không nói rõ rằng nó đang sửa một lỗ hổng bảo mật. Bản thay đổi đề cập đến các bản sửa lỗ hổng như là các cải tiến.

WP Bakery Page Builder Changelog
WP Bakery Page Builder Changelog

Plugin trong WP Bakery Page Builder thường bao gồm luôn các chủ đề. Các nhà xuất bản nên kiểm tra các plugin của họ, đảm bảo chúng là phiên bản mới nhất và an toàn nhất là 6.4.

Nguồn tham khảo: https://www.searchenginejournal.com/wp-bakery-wordpress-vulnerability/383383/

Thông tin tác giả

Vị trí SEO Content của tôi đòi hỏi chất lượng nội dung bài viết truyền tải tới người đọc phải đạt tiêu chuẩn cao. Không những thế, lúc nào cũng phải cập nhật những tin tức hay các thuật toán mới nhất về SEO ở tất cả các nguồn thông tin để gửi gắm đến người dùng. Nhận thấy được nhiệm vụ đó, tôi luôn trau dồi và cố gắng mỗi ngày để có thể mang đến những bài viết content chuẩn SEO nhất gửi đến độc giả.

Bài viết liên quan

Miễn phí kiểm tra lỗi SEO













Nhận báo giá SEO

Cần dịch vụ SEO?

 Tư vấn chiến lược SEO

Liên hệ

 Viết Content SEO

 Viết Content SEO

Liên hệ

KIẾN THỨC SEO NỔI BẬT

(GMB) Google My Business là gì: Cách tạo và tối ưu cho doanh nghiệp

Những năm gần đây, Google My Business (GMB) – Doanh nghiệp của tôi – không chỉ là một yếu tố ...

25/10/2020

TopOnSeek

Ahrefs là gì? Cách dùng Ahrefs để tối ưu SEO

Ahrefs là công cụ xây dựng liên kết SEO được phổ biến trên trang web hiện nay. Vậy Ahrefs là ...

09/09/2020

Thảo Phạm

SEMrush: Hướng dẫn sử dụng SEMrush từ A-Z

SEMrush là gì? SEMrush là gì? SEMrush là một công cụ phân tích các chỉ số của website và SEO ...

19/11/2019

Hiền Trần

KIẾN THỨC SEO MỚI NHẤT

Search Engine là gì? 20 Search Engine tuyệt vời cho bạn ngoài Google

Các Search Engine là gì? Các Search Engine nào sử dụng cho việc tìm kiếm riêng tư và trải nghiệm ...

19/10/2021

Võ Như Huỳnh

Google Mobile Search cập nhật tính năng cuộn liên tục

Google Mobile Search được Google cập nhật mới ở Hoa Kỳ với tính năng cuộn liên tục khi có nhiều ...

19/10/2021

Võ Như Huỳnh

10 bước tối ưu hóa video SEO cho tìm kiếm và khám phá

Ngày nay, sự đổi mới và cập nhật liên tục các phương pháp tối ưu hóa video SEO là điều ...

18/10/2021

Võ Như Huỳnh