WordPress phát hành phiên bản mới 4.2.3

Hệ thống quản trị nội dung WordPress vừa ra mắt phiên bản WordPress 4.2.3 với gần 20 lỗ hổng được vá. Nổi bật nhất là lỗ hổng cross-site scripting (XSS) có thể dẫn đến xâm hại hoàn toàn website.

Theo Gary Pendergast, một kĩ sư tại Automattic – công ty chủ quản của WordPress cho biết lỗ hổng XSS có thể bị khai thác bởi bất kì người dùng nào. Chi tiết kĩ thuật về lỗ hổng không được công bố nhưng WordPress cảnh báo tin tặc tiềm năng có thể hijack hoàn toàn trang của bạn.  Lỗ hổng liên quan đến những đoạn mã độc ngắn sử dụng thuộc tính HTML qua mặt cơ chế bảo mật để giả mạo thành mã HTML hợp lệ.

Bản cập nhật sửa chữa 20 lỗ hổng từ phiên bản cũ 4.2 bao gồm một lỗ hổng cho phép người dùng ‘Subscribers’ tạo một bài đăng thông qua cơ chế Quick Draft. Bên cạnh đó hai nhà phát triển plugin nổi tiếng trên WordPress cũng thông báo trong tuần này vá lỗ hổng sản phẩm của mình. Lỗ hổng cho phép thực thi mã từ xa, đánh cắp dữ liệu và chiếm điều khiển hoàn toàn trang web.

Điều đáng chú ý là WordPress 4.2.1 và WordPress 4.2.2 phát hành lần lượt vào tháng tư, tháng năm cũng giải quyết lỗ hổng XSS nghiêm trọng. Các webmaster được khuyến cáo cập nhật lên phiên bản 4.2.3 càng sớm càng tốt.

threatpost