Đầu tuần này, nhà cung cấp plugin WordPress Jetpack đã phát hành bản cập nhật bảo mật quan trọng để giải quyết một lỗ hổng cho phép người dùng đã đăng nhập truy cập vào các biểu mẫu được gửi bởi những người truy cập khác vào trang web.
Jetpack là một plugin WordPress phổ biến của Automattic, nó cung cấp các công cụ để cải thiện chức năng, bảo mật và hiệu suất của trang web. Theo nhà cung cấp, plugin này được đã được cài đặt trên 27 triệu trang web.
Vấn đề này được phát hiện trong quá trình kiểm tra nội bộ và ảnh hưởng đến tất cả các phiên bản Jetpack kể từ phiên bản 3.9.9 được phát hành năm 2016.
"Trong quá trình kiểm tra bảo mật nội bộ, chúng tôi đã phát hiện ra lỗ hổng trong tính năng Biểu mẫu liên hệ (Contact Form) trong Jetpack kể từ phiên bản 3.9.9, phát hành năm 2016", bản tư vấn bảo mật viết.
"Lỗ hổng này có thể bị bất kỳ người dùng nào đã đăng nhập trên trang web lợi dụng để đọc các biểu mẫu do khách truy cập trên trang web gửi đến."
Automattic đã phát hành bản sửa lỗi cho 101 phiên bản Jetpack bị ảnh hưởng, tất cả được liệt kê dưới đây:
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10
Chủ sở hữu và quản trị viên trang web sử dụng Jetpack cần kiểm tra xem plugin của họ có tự động nâng cấp lên một trong các phiên bản được liệt kê ở trên hay không và thực hiện nâng cấp thủ công nếu không được nâng cấp tự động.
Jetpack cho biết không có bằng chứng nào cho thấy kẻ xấu đã khai thác lỗ hổng này trong suốt 8 năm tồn tại của nó, nhưng hãng khuyên người dùng nên nâng cấp lên bản vá càng sớm càng tốt để giảm thiểu các rủi ro tiềm ẩn.
Không có biện pháp giảm thiểu hoặc giải pháp thay thế nào cho lỗi này, do đó, áp dụng các bản cập nhật hiện có là giải pháp khả thi và được khuyến nghị duy nhất.
Các chi tiết kỹ thuật về lỗ hổng và cách khai thác lỗ hổng này hiện vẫn chưa được tiết lộ để người dùng có thời gian áp dụng các bản cập nhật bảo mật.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
Tín nhiệm mạng | Palo Alto Networks đã phát hành cảnh báo về các lỗ hổng bảo mật (đã có mã khai thác công khai) có thể bị kẻ tấn công lạm dụng để chiếm quyền điều khiển tường lửa (firewall) PAN-OS.
Tín nhiệm mạng | Bản vá lỗi tháng 10 năm 2024 của Microsoft, bao gồm các bản cập nhật bảo mật cho 118 lỗ hổng, 5 lỗ hổng zero-day được công khai, trong đó có 2 lỗ hổng đang bị khai thác tích cực.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Bộ phát triển phần mềm Java (SDK) Apache Avro, nếu khai thác thành công, có thể cho phép thực thi mã tùy ý trên các phiên bản dễ bị tấn công.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên là Gorilla (hay còn gọi là GorillaBot), một biến thể của mã nguồn botnet Mirai bị rò rỉ.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật mới cho iOS và iPadOS để giải quyết hai vấn đề bảo mật, một trong số đó có thể cho phép công nghệ hỗ trợ VoiceOver đọc to mật khẩu của người dùng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
