Lỗ hổng trong plugin File Manager của WordPress ảnh hưởng đến hàng triệu website

Lỗ hổng nghiêm trọng trong plugin Trình quản lý tệp WordPress (WordPress File Manager) cho phép những hacker không được xác thực vẫn có quyền truy cập vào các thông tin nhạy cảm của website.

Theo đó, một lỗ hổng bảo mật quan trọng đã được xác định và vá trong plugin Trình quản lý tệp WordPress hiện đang được sử dụng rộng rãi cho cho các website WordPress, lỗ hổng ảnh hưởng đến hơn 1 triệu trang web trên toàn cầu.

Lỗ hổng tấn công không được xác thực có trong Plugin WordPress File Manager.

Theo phân tích, điều khiến lỗ hổng này trở thành mối lo ngại cao đó là các tin tặc không cần thông tin đăng nhập vẫn có thể thực hiện được một cuộc tấn công vào các nội dung trên website.

Trong bối cảnh các lỗ hổng từ những plugin WordPress ngày càng gia tăng, các website sử dụng mã nguồn mở WordPress đặc biệt cần lưu ý điều này.

Các chuyên gia bảo mật nhận định rằng, loại lỗ hổng có trong plugin WordPress File Manager xuất phát từ điểm yếu trong thuật toán tạo tên tệp sao lưu của Trình quản lý tệp. Thuật toán kết hợp dấu thời gian với một số ngẫu nhiên gồm bốn chữ số nhưng lượng ngẫu nhiên đó không đủ mạnh để ngăn kẻ tấn công dự đoán thành công tên tệp và do đó cho phép họ có quyền truy cập vào các tệp sao lưu nơi mà thẻ .htaccess không được sử dụng để ngăn chặn quyền truy cập.

Special Offer từ MarketingTrips:

• Tham khảo giải pháp Agency Listing từ MarketingTrips: Agency Networks
• Đăng bài không giới hạn trên MarketingTrips với chi phí chỉ bằng 1 bài đăng (Booking): Content Partner
• Đăng ký (dành cho Agency): Sign up

Tham gia Cộng đồng We’re Marketer của MarketingTrips (Trang tin tức trực tuyến về Marketing, Digital Marketing, Thương hiệu, Quảng cáo và Kinh doanh) để thảo luận các chủ đề về Marketing và Business tại: We’re Marketer