Lỗ hổng XSS tồn tại trong nhiều phiên bản plugin WP Super Cache của WordPress

Lỗ hổng cross-site scripting (XSS) tồn tại trong nhiều phiên bản caching engine plugin của WordPress có thể khiến trang web của bạn bị mất kiểm soát. Từ đó, tin tặc sẽ lây nhiễm script độc hại, backdoor…

Plugin WP Super Cache được cài đặt trên hơn một triệu lần dựa theo thông số của WordPress. Tin tặc lợi dụng lỗ hổng trong đó và sử dụng một truy vấn để lây nhiễm script vào file cache liệt kê danh sách trang của plugin.

Vấn đề bắt nguồn từ cách plugin hiển thị thông tin chứa trong file khóa của cache. Thông tin chứa trong đó được sử dụng để xác định file cache nào được tải và tin tặc có thể dùng nó để chèn script độc hại vào trang. Lỗ hổng đã được vá bởi nhà phát triển plugin ông Donncha Ó Caoimh với phiên bản 1.4.3 cuối tuần trước.

Sau khi tung ra bản 1.4.3, Ó Caoimh lại phải tiếp tục phiên bản cập nhật thứ hai (1.4.4) để xử lí bug khác truy vấn với thông số GET gây ra fatal error. Người dùng phiên bản cũ được khuyến cáo cập nhật sớm nhất có thể.

threatpost