Một wordpress plugins khá phổ biến được phát hành bới Yoast đã được phát hiện có một lỗi bảo mật khá nghiêm trọng có thể bị tin tặc lợi dụng để chiếm quyền điều khiển website.
Các lỗ hổng nghiêm trọng được phát hiện trong plugins 'Google Analytics by Yoast' trợ giúp quản trị viên theo dõi lưu lượng truy cập trang web bằng cách kết nối đến tài khoản Google Analytics của họ.
Google Analytics bởi Yoast WordPress plugin đã được tải về gần 7 triệu lần với hơn 1 triệu lượt cài đặt, khiến cho ảnh hưởng của bug khá nghiêm trọng.
Plugins 'Google Analytics by Yoast' dính lỗi bảo mật cross-site scripting (XSS) lỗ hổng cho phép tin tặc thực thi mã PHP độc hại trên máy chủ để chiểm quyền tài khoản quản trị viên. Mã độc hại này có thể được kích hoạt khi quản trị viên chỉ xem các cài đặt Plugin 'Google Analytics by Yoast'. Tất cả điều này có thể được thực hiện thành công mà không cần yêu cầu xác thực.
Jouko Pynnönen - công ty IT Phần Lan Klikki Oy đã phát hiện và công bố lỗ hổng, trong đó,và Yoast đã phát hành bản vá lỗi ngay sau một ngày.
Hiện tại Yoast đã phát hành phiên bản 5.3.3 để vá lỗ hổng bảo mật nguy hiểm này. Các bạn có thể cập nhật plugins tại đây
Đăng nhận xét Blogger Facebook