Plugin WooCommerce Booster Äược cà i Äặt trong hÆ¡n 70.000 trang web Äã vá lá» há»ng Reflected Cross-Site Scripting.
Plugin WooCommerce Booster phá» biến Äã vá lá» há»ng Reflected Cross-Site Scripting, ảnh hÆ°á»ng Äến hÆ¡n 70.000 trang web sá» dụng plugin.
>> Tham khảo: WordPress khắc phục nhiá»u lá» há»ng trong các phiên bản trÆ°á»c 6.0.3.
1. TÄng cÆ°á»ng cho lá» há»ng WooCommerce
Booster cho WooCommerce là má»t plugin WordPress tất cả trong má»t phá» biến cung cấp hÆ¡n 100 chức nÄng Äá» tùy chá»nh các cá»a hà ng WooCommerce.
Gói mô-Äun cung cấp tất cả các chức nÄng thiết yếu nhất cần thiết Äá» váºn hà nh má»t cá»a hà ng thÆ°Æ¡ng mại Äiá»n tá», chẳng hạn nhÆ° cá»ng thanh toán tùy chá»nh, tùy chá»nh giá» hà ng cÅ©ng nhÆ° các nút và nhãn giá tùy chá»nh.
2. Táºp lá»nh chéo trang Äược phản ánh (XSS)
Lá» há»ng cross-site scripting Äược phản ánh trên WordPress thÆ°á»ng xảy ra khi má»t Äầu và o mong Äợi má»t cái gì Äó cụ thá» (nhÆ° tải lên hình ảnh hoặc vÄn bản) nhÆ°ng cho phép các Äầu và o khác, bao gá»m cả các táºp lá»nh Äá»c hại.
Sau Äó, kẻ tấn công có thá» thá»±c thi các táºp lá»nh trên trình duyá»t của khách truy cáºp trang web.
>> Tham khảo: Là m thế nà o Äá» tiếp thá» ná»i dung Facebook?
Nếu ngÆ°á»i dùng là quản trá» viên thì kẻ tấn công có thá» Äánh cắp thông tin ÄÄng nháºp của quản trá» viên và chiếm lấy trang web.
Dá»± án Bảo máºt Ứng dụng Web Má» (OWASP) phi lợi nhuáºn mô tả loại lá» há»ng nà y:
âCác cuá»c tấn công Äược phản ánh là những cuá»c tấn công mà táºp lá»nh Äược ÄÆ°a và o bá» phản ánh khá»i máy chủ web, chẳng hạn nhÆ° trong thông báo lá»i, kết quả tìm kiếm hoặc bất kỳ phản há»i nà o khác bao gá»m má»t sá» hoặc tất cả thông tin Äầu và o Äược gá»i Äến máy chủ nhÆ° má»t phần của yêu cầu.
Các cuá»c tấn công Äược phản ánh Äược gá»i Äến nạn nhân thông qua má»t con ÄÆ°á»ng khác, chẳng hạn nhÆ° trong má»t email hoặc trên má»t sá» trang web khác.
â¦XSS có thá» gây ra nhiá»u sá»± cá» cho ngÆ°á»i dùng cuá»i vá»i mức Äá» nghiêm trá»ng từ khó chá»u Äến hoà n toà n xâm phạm tà i khoản.â
>> Tham khảo: Cách thức hoạt Äá»ng của thuáºt toán TikTok.
TÃnh Äến thá»i Äiá»m nà y, lá» há»ng chÆ°a Äược chá» Äá»nh xếp hạng mức Äá» nghiêm trá»ng.
Äây là mô tả chÃnh thức vá» lá» há»ng của CÆ¡ sá» dữ liá»u vá» lá» há»ng quá»c gia của ChÃnh phủ Hoa Kỳ:
âPlugin Booster cho WooCommerce WordPress trÆ°á»c 5.6.3, plugin Booster Plus cho WooC Commerce WordPress trÆ°á»c 6.0.0, plugin Booster Elite cho WooC Commerce WordPress trÆ°á»c 6.0.0 không thoát khá»i má»t sá» URL và tham sá» trÆ°á»c khi xuất chúng trá» lại trong các thuá»c tÃnh, dẫn Äến Phản ánh Táºp lá»nh chéo trang.â
Äiá»u Äó có nghÄ©a là lá» há»ng bảo máºt liên quan Äến lá»i âthoát má»t sá» URLâ, nghÄ©a là mã hóa chúng thà nh các ký tá»± Äặc biá»t (Äược gá»i là ASCII).
Thoát URL có nghÄ©a là mã hóa URL theo Äá»nh dạng dá»± kiến. Vì váºy, nếu gặp phải má»t URL có khoảng trá»ng, má»t trang web có thá» mã hóa URL Äó bằng cách sá» dụng ký tá»± ASCII â%20â Äá» biá»u thá» khoảng trá»ng Äược mã hóa.
Lá»i nà y không mã hóa chÃnh xác các URL cho phép kẻ tấn công nháºp ná»i dung khác, có thá» là má»t táºp lá»nh Äá»c hại mặc dù Äó có thá» là má»t thứ khác nhÆ° chuyá»n hÆ°á»ng Äến trang web Äá»c hại.
>> Tham khảo: Các loại liên kết Äá»a phÆ°Æ¡ng chÃnh và cách kiếm chúng.
Lá» há»ng ghi nháºt ký thay Äá»i
Nháºt ký cáºp nháºt phần má»m chÃnh thức của plugin (Äược gá»i là Nháºt ký thay Äá»i) Äá» cáºp Äến lá» há»ng giả mạo yêu cầu trang web chéo.