WordPress Äã cÃŽng bá» má»t bản phát hà nh bảo máºt Äá» sá»a hÆ¡n chục lá» há»ng vá»i mức Äá» nghiêm trá»ng khác nhau.
WordPress Äã xuất bản má»t bản phát hà nh bảo máºt Äá» giải quyết nhiá»u lá» há»ng Äược phát hiá»n trong các phiên bản WordPress trÆ°á»c 6.0.3. WordPress cÅ©ng cáºp nháºt tất cả các phiên bản ká» từ WordPress 3.7.
>> Tham khảo: Quảng cáo video của Microsoft hiá»n có sẵn.
1. Lá» há»ng Cross Site Scripting (XSS)
CÆ¡ sá» dữ liá»u vá» lá» há»ng quá»c gia của ChÃnh phủ Hoa Kỳ Äã cÃŽng bá» các cảnh báo vá» nhiá»u lá» há»ng ảnh hÆ°á»ng Äến WordPress.
Có nhiá»u loại lá» há»ng ảnh hÆ°á»ng Äến WordPress, bao gá»m má»t loại Äược gá»i là Cross Site Scripting, thÆ°á»ng Äược gá»i là XSS.
Lá» há»ng cross-site scripting thÆ°á»ng phát sinh khi má»t ứng dụng web nhÆ° WordPress khÃŽng kiá»m tra (khá» trùng) Äúng cách những gì Äược nháºp và o má»t biá»u mẫu hoặc Äược tải lên thÃŽng qua má»t Äầu và o tải lên.
Kẻ tấn cÃŽng có thá» gá»i táºp lá»nh Äá»c hại tá»i ngÆ°á»i dùng truy cáºp trang web, sau Äó thá»±c thi táºp lá»nh Äá»c hại, sau Äó cung cấp thÃŽng tin nhạy cảm hoặc cookie chứa thÃŽng tin ÄÄng nháºp của ngÆ°á»i dùng cho kẻ tấn cÃŽng.
>> Tham khảo: Cách hình thà nh chiến lược ná»i dung thà nh cÃŽng.
Má»t lá» há»ng khác Äược phát hiá»n có tên là Stored XSS, thÆ°á»ng Äược coi là tá»i tá» hÆ¡n má»t cuá»c tấn cÃŽng XSS thÃŽng thÆ°á»ng.
Vá»i má»t cuá»c tấn cÃŽng XSS Äược lÆ°u trữ, táºp lá»nh Äá»c hại Äược lÆ°u trữ trên chÃnh trang web và Äược thá»±c thi khi ngÆ°á»i dùng hoặc ngÆ°á»i dùng Äã ÄÄng nháºp truy cáºp trang web.
Lá» há»ng loại thứ ba Äược phát hiá»n Äược gá»i là giả mạo yêu cầu trên nhiá»u trang web (CSRF).
Trang web bảo máºt Dá»± án bảo máºt ứng dụng web má» (OWASP) phi lợi nhuáºn mÃŽ tả loại lá» há»ng nà y:
âGiả mạo yêu cầu trên nhiá»u trang web (CSRF) là má»t cuá»c tấn cÃŽng buá»c ngÆ°á»i dùng cuá»i thá»±c hiá»n các hà nh Äá»ng khÃŽng mong muá»n trên má»t ứng dụng web mà há» hiá»n Äang Äược xác thá»±c.
Vá»i má»t chút trợ giúp của kỹ thuáºt xã há»i (chẳng hạn nhÆ° gá»i liên kết qua email hoặc trò chuyá»n), kẻ tấn cÃŽng có thá» lừa ngÆ°á»i dùng ứng dụng web thá»±c hiá»n các hà nh Äá»ng do kẻ tấn cÃŽng lá»±a chá»n.
Nếu nạn nhân là ngÆ°á»i dùng bình thÆ°á»ng, má»t cuá»c tấn cÃŽng CSRF thà nh cÃŽng có thá» buá»c ngÆ°á»i dùng thá»±c hiá»n các yêu cầu thay Äá»i trạng thái nhÆ° chuyá»n tiá»n, thay Äá»i Äá»a chá» email của há», v.v.
>> Tham khảo: Twitter hiá»n ÄÆ°a các Tweet Äược Äá» xuất và o nguá»n cấp dữ liá»u của má»i ngÆ°á»i.
Nếu nạn nhân là tà i khoản quản trá», CSRF có thá» xâm phạm toà n bỠứng dụng web.â
Äây là những lá» há»ng Äược phát hiá»n:
- XSS Äược lÆ°u trữ qua wp-mail.php (ÄÄng qua email)
- Má» chuyá»n hÆ°á»ng trong
wp_nonce_ays - Äá»a chá» email của ngÆ°á»i gá»i Äược hiá»n thá» trong wp-mail.php
- ThÆ° viá»n phÆ°Æ¡ng tiá»n â XSS Äược phản ánh qua SQLi
- Giả mạo yêu cầu trên nhiá»u trang web (CSRF) trong wp-trackback.php
- XSS Äược lÆ°u trữ thÃŽng qua Tùy biến
- Hoà n nguyên các phiên bản ngÆ°á»i dùng Äược chia sẻ Äược giá»i thiá»u trong 50790
- XSS Äược lÆ°u trữ trong WordPress Core thÃŽng qua Chá»nh sá»a Nháºn xét
- Hiá»n thá» dữ liá»u thÃŽng qua Äiá»m cuá»i Äiá»u khoản/Thẻ REST
- Ná»i dung từ nhiá»u email bá» rò rá»
- SQL Injection do vá» sinh khÃŽng Äúng cách trong
WP_Date_Query - Tiá»n Ãch RSS: Sá»± cá» XSS Äược lÆ°u trữ
- XSS Äược lÆ°u trữ trong khá»i tìm kiếm
- Khá»i hình ảnh ná»i báºt: Sá»± cá» XSS
- Khá»i RSS: Sá»± cá» XSS Äược lÆ°u trữ
- Sá»a khá»i tiá»n Ãch XSS
2. Hà nh Äá»ng Äá» xuất
WordPress khuyến nghá» tất cả ngÆ°á»i dùng cáºp nháºt trang web của há» ngay láºp tức.
ThÃŽng báo chÃnh thức của WordPress Äã nêu:
âBản phát hà nh nà y có má»t sá» bản sá»a lá»i bảo máºt. Vì Äây là bản phát hà nh bảo máºt nên bạn nên cáºp nháºt trang web của mình ngay láºp tức.
>> Tham khảo: Là m thế nà o Äá» tá»i Æ°u trang web tiếp thá» của cÃŽng ty luáºt?
Tất cả các phiên bản ká» từ WordPress 3.7 cÅ©ng Äã Äược cáºp nháºt.â