Plugin là gì?
Plugin là các đoạn mã (code) được viết để mở rộng và tùy chỉnh các tính năng có sẵn trong WordPress. Những plugin này có thể làm mọi thứ, từ việc cải thiện trải nghiệm người dùng, tăng cường bảo mật, đến việc thêm các chức năng đặc biệt như cửa hàng trực tuyến, các form liên hệ, hoặc tính năng chia sẻ mạng xã hội.
Plugin trong wordpress chỉ đơn giản là một chương trình, ứng dụng bổ sung được viết ra để tích hợp vào trong website WordPress, giúp mở rộng chức năng hiện có hoặc thêm một tính năng mới vào website WordPress.
Ưu điểm khi sử dụng plugin:
Dễ dàng mở rộng tính năng: Thêm các tính năng mới mà không cần phải viết mã từ đầu. Các plugin sẽ giúp mở rộng khả năng của trang web mà không cần kiến thức lập trình.
Tiết kiệm thời gian và công sức: Các plugin giúp giảm thiểu thời gian phát triển không phải làm mọi thứ từ đầu, mà chỉ cần tìm và cài đặt plugin phù hợp.
Tính linh hoạt và mở rộng: Có hàng nghìn plugin miễn phí và trả phí cho WordPress dễ dàng điều chỉnh và tùy biến trang web theo nhu cầu cụ thể.
CVE-2024-6172
Icegram Express - một plugin phổ biến của WordPress dành cho tiếp thị qua email và bản tin.
CVE-2024-6172 là một lỗ hổng SQL Injection (time-based). Kẻ tấn công chèn các truy vấn SQL độc hại vào tham số db.
Do thiếu sự kiểm tra, các truy vấn này có thể thao tác cơ sở dữ liệu, cho phép kẻ tấn công truy xuất thông tin nhạy cảm, thay đổi dữ liệu, hoặc thậm chí giành quyền kiểm soát quản trị đối với trang web WordPress bị ảnh hưởng.
- Đánh cắp dữ liệu nhạy cảm: Truy cập vào danh sách email, thông tin người đăng ký và có thể là các dữ liệu WordPress khác.
- Chiếm quyền kiểm soát trang web: Trong kịch bản xấu nhất, kẻ tấn công có thể lợi dụng lỗ hổng để giành quyền truy cập quản trị vào một trang web, cho phép họ thay đổi giao diện, phát tán phần mềm độc hại hoặc chuyển hướng người truy cập đến các trang web độc hại.
- Gây gián đoạn hoạt động: Ngay cả khi không có quyền kiểm soát hoàn toàn, kẻ tấn công vẫn có thể gây hỗn loạn bằng cách xóa dữ liệu hoặc làm gián đoạn chức năng của plugin. Từ phiên bản 5.7.25 trở về trước đều bị ảnh hưởng. Các chuyên gia an ninh mạng khuyến cáo tạm thời vô hiệu hóa plugin cho đến khi có thể cập nhật một cách an toàn hoặc cập nhật lên phiên bản mới nhất (5.7.26 hoặc cao hơn).
CVE-2024-1852
WP-Members Membership là một plugin WordPress được sử dụng để quản lý và điều chỉnh việc đăng ký thành viên trên các trang web WordPress với hơn 60.000 lượt cài đặt đang hoạt động. Nguyên nhân tồn tại lỗ hổng này là do việc kiểm tra dữ liệu đầu vào và bảo vệ dữ liệu đầu ra không đúng cách, cho phép kẻ tấn công tạo ra các tài khoản chứa đoạn mã độc hại được lưu trữ dữ liệu dưới dạng địa chỉ IP của người dùng.
XSS là tên viết tắt của Cross-site scripting. Đây là một hình thức tấn công bằng mã độc phổ biến. Các hacker sẽ lợi dụng lỗ hổng trong bảo mật web để chèn các mã script, sau đó gửi cho người dùng để truy cập và mạo danh người dùng.
Lỗ hổng Cross-site Scripting (XSS) với mã định danh CVE-2024-1852 trong plugin WP-Members Membership có thể bị khai thác để chèn các tập lệnh tùy ý vào các trang web. Để khai thác lỗ hổng, kẻ tấn công có thể sử dụng chức năng đăng ký người dùng của plugin WP-Members Membership để điền và gửi biểu mẫu đăng ký, sau đó chặn yêu cầu đăng ký bằng proxy và sửa đổi nó để chứa tiêu đề X-Forwarded-For kèm payload độc hại trong các thẻ script.