TamcauchuY
Rìu Chiến Chấm
Ngày 11/09/22
Công ty bảo mật WordPress Wordfence đã tiết lộ một lỗ hổng zero-day trong plugin của WordPress có tên BackupBuddy đang bị hackers khai thác tích cực. WordPress Wordfence cho biết "“Lỗ hổng này cho phép tin tặc có thể tải xuống các tập tin (files) tùy ý từ trang các trang web bị ảnh hưởng, có thể bao gồm thông tin nhạy cảm."
Plugin BackupBuddy cho phép người dùng sao lưu toàn bộ website WordPress của họ từ dashboard, bao gồm themes, trang posts, ngay cả Widgets và media files.
WordPress ước tính có khoảng 140.000 websites sử dụng plugin BackupBuddy đang hoạt động, với lỗ hổng (CVE-2022-31474, điểm CVSS: 7,5) ảnh hưởng đến các phiên bản 8.5.8.0 đến 8.7.4.1. Nó đã được giải quyết trong phiên bản 8.7.5 được phát hành vào ngày 2 tháng 9 năm 2022.
Sự cố bắt nguồn từ chức năng có tên "Bản sao thư mục cục bộ" được thiết kế để lưu trữ bản sao cục bộ của các bản sao lưu. Theo Wordfence, lỗ hổng này là kết quả của việc triển khai không an toàn, cho phép tin tặc tải xuống bất kỳ tập tùy ý nào trên máy chủ.
Nguồn: https://thehackernews.com/2022/09/hackers-exploit-zero-day-in-wordpress.html?m=1
Công ty bảo mật WordPress Wordfence đã tiết lộ một lỗ hổng zero-day trong plugin của WordPress có tên BackupBuddy đang bị hackers khai thác tích cực. WordPress Wordfence cho biết "“Lỗ hổng này cho phép tin tặc có thể tải xuống các tập tin (files) tùy ý từ trang các trang web bị ảnh hưởng, có thể bao gồm thông tin nhạy cảm."
Plugin BackupBuddy cho phép người dùng sao lưu toàn bộ website WordPress của họ từ dashboard, bao gồm themes, trang posts, ngay cả Widgets và media files.
WordPress ước tính có khoảng 140.000 websites sử dụng plugin BackupBuddy đang hoạt động, với lỗ hổng (CVE-2022-31474, điểm CVSS: 7,5) ảnh hưởng đến các phiên bản 8.5.8.0 đến 8.7.4.1. Nó đã được giải quyết trong phiên bản 8.7.5 được phát hành vào ngày 2 tháng 9 năm 2022.
Sự cố bắt nguồn từ chức năng có tên "Bản sao thư mục cục bộ" được thiết kế để lưu trữ bản sao cục bộ của các bản sao lưu. Theo Wordfence, lỗ hổng này là kết quả của việc triển khai không an toàn, cho phép tin tặc tải xuống bất kỳ tập tùy ý nào trên máy chủ.
Nguồn: https://thehackernews.com/2022/09/hackers-exploit-zero-day-in-wordpress.html?m=1