Lỗi bảo mật wordpress, WordPress 5.8.1 được phát hành để sửa nhiều lỗ hổng

Bản cập nhật WordPress 5.8.1 giải quyết ba vấn đề bảo mật trong API REST, trình chỉnh sửa Gutenberg và thư viện JavaScript Lodash. Đề nghị cập nhật ngay bây giờ

WordPress đã công bố bản phát hành bảo mật và bảo trì, phiên bản 5.8.1. Điều quan trọng là phải cập nhật WordPress, đặc biệt là phiên bản 5.4 đến 5.8 để khắc phục ba vấn đề bảo mật.

Bản phát hành bảo mật và bảo trì WordPress 5.8.1

Không có gì lạ khi WordPress hoặc bất kỳ phần mềm nào cho vấn đề đó xuất bản bản cập nhật sửa lỗi sau bản cập nhật phiên bản lớn để khắc phục các sự cố không lường trước cũng như giới thiệu các cải tiến không kịp cho bản phát hành chính.

Trong WordPress, những bản cập nhật đó được gọi là bản phát hành bảo trì.

Bản cập nhật này cũng bao gồm một bản cập nhật bảo mật, điều này hơi không phổ biến đối với lõi WordPress. Điều đó làm cho bản cập nhật này quan trọng hơn bản phát hành bảo trì thông thường.

Các vấn đề bảo mật WordPress đã được khắc phục

WordPress 5.8.1 sửa ba lỗ hổng:

  1. Lỗ hổng tiếp xúc dữ liệu trong API REST
  2. Lỗ hổng Cross-Site Scripting (XSS) trong trình chỉnh sửa khối Gutenberg
  3. Nhiều lỗ hổng bảo mật từ mức độ nghiêm trọng đến mức độ nghiêm trọng cao trong Thư viện JavaScript Lodash

Cả ba lỗ hổng trên đều đáng lo ngại đến mức thông báo của WordPress khuyến nghị cập nhật ngay các bản cài đặt WordPress.

Lỗ hổng API REST

WordPress REST API là một giao diện cho phép các plugin và chủ đề tương tác với lõi WordPress.

API REST là nguồn gốc của các lỗ hổng bảo mật, bao gồm gần đây nhất là lỗ hổng Gutenberg Template Library & Redux Framework đã ảnh hưởng đến hơn một triệu trang web.

Lỗ hổng này được mô tả là lỗ hổng lộ dữ liệu, có nghĩa là thông tin nhạy cảm có thể bị lộ. Không có chi tiết nào khác tại thời điểm này liên quan đến loại thông tin nào nhưng nó có thể nghiêm trọng như mật khẩu đối với dữ liệu có thể được sử dụng để thực hiện một cuộc tấn công thông qua một lỗ hổng khác.

Lỗ hổng WordPress Gutenberg XSS

Các lỗ hổng Cross-Site Scripting (XSS) xảy ra tương đối thường xuyên. Chúng có thể xảy ra bất cứ khi nào có thông tin người dùng nhập vào như liên hệ hoặc biểu mẫu email, bất kỳ loại thông tin đầu vào nào không được “làm sạch” để ngăn việc tải lên các tập lệnh có thể kích hoạt hành vi không mong muốn trong cài đặt WordPress.

Dự án Bảo mật Ứng dụng Web Mở (OWASP) mô tả tác hại tiềm ẩn của các lỗ hổng XSS :

“Kẻ tấn công có thể sử dụng XSS để gửi một tập lệnh độc hại đến một người dùng không nghi ngờ. Trình duyệt của người dùng cuối không có cách nào để biết rằng tập lệnh không được tin cậy và sẽ thực thi tập lệnh.

Bởi vì nó cho rằng tập lệnh đến từ một nguồn đáng tin cậy, tập lệnh độc hại có thể truy cập vào bất kỳ cookie, mã thông báo phiên hoặc thông tin nhạy cảm nào khác được trình duyệt giữ lại và sử dụng với trang web đó. Những đoạn mã này thậm chí có thể viết lại nội dung của trang HTML ”.

Lỗ hổng cụ thể này ảnh hưởng đến trình chỉnh sửa khối Gutenberg.

Lỗ hổng thư viện JavaScript Lodash của WordPress

Những lỗ hổng này có thể là mối quan tâm nhất. Thư viện JavaScript Lodash là một tập hợp các tập lệnh được sử dụng bởi các nhà phát triển đã được phát hiện có nhiều lỗ hổng.

Phiên bản mới nhất và an toàn nhất là Lodash 4.17.21.

Trang web CVE List được Bộ An ninh Nội địa Hoa Kỳ tài trợ nêu chi tiết về lỗ hổng bảo mật :

“Các phiên bản Lodash trước 4.17.21 dễ bị tấn công bởi Command Injection thông qua chức năng mẫu.”

Có vẻ như có nhiều lỗ hổng khác cũng ảnh hưởng đến thư viện Lodash trong nhánh 4.1.7.

WordPress yêu cầu cập nhật ngay lập tức

Các lỗ hổng bảo mật này tạo thêm cảm giác cấp bách cho bản cập nhật này. Tất cả các nhà xuất bản đều được WordPress khuyến nghị cập nhật.

Thông báo chính thức của WordPress khuyên bạn nên cập nhật:

“Vì đây là bản phát hành bảo mật, bạn nên cập nhật các trang web của mình ngay lập tức. Tất cả các phiên bản kể từ WordPress 5.4 cũng đã được cập nhật. ”

Trích dẫn

Bản phát hành bảo mật và bảo trì WordPress 5.8.1

Mô tả lỗ hổng CVE Lodash CVE-2021-23337

VỀ chúng tôi: BOOSTUP TECHNOLOGY

BOOSTUP là công ty công nghệ chuyên thiết kế phần mềm ứng dụng, triển khai các dự án digital marketing, seo, hình ảnh thương hiệu, quảng cáo, truyền thông. Với phương châm tạo giá trị thật cho tất cả các khách hàng, chúng tôi ngày một nỗ lực không ngừng để mang tới dịch vụ chất lượng và tốt nhất.

Viết một bình luận