Ra mắt trang web chứa cơ sở dữ liệu các lỗ hổng trên WordPress
Nhóm các nhà nghiên cứu đằng sau phần mềm WPScan quét lỗ hổng trên WordPress đã xây dựng một trang web chứa dữ liệu về thông tin về thông tin của rất nhiều lỗ hổng bảo mật đã phát hiện có ảnh hưởng đến WordPress. Website wpvulndb.com đã được kích hoạt tuần trước tại hội nghị bảo mật BruCON. ...
Nhóm các nhà nghiên cứu đằng sau phần mềm WPScan quét lỗ hổng trên WordPress đã xây dựng một trang web chứa dữ liệu về thông tin về thông tin của rất nhiều lỗ hổng bảo mật đã phát hiện có ảnh hưởng đến WordPress.
Website wpvulndb.com đã được kích hoạt tuần trước tại hội nghị bảo mật BruCON. Cơ sở dữ liệu về lỗ hổng mới này sẽ khiến file cơ sở dữ liệu của WPScan trở nên dễ tiếp cận hơn với mọi người bằng cách trình bày rõ ràng trong một giao diện web. Nó cũng khiến việc quản lí lỗ hổng trở nên dễ dàng hơn” – Ryan Dewhurst, người khởi xướng dự án WPScan đã viết trong một bài đăng blog.
WPScan Vulnerability Database được biên dịch bởi WPScan Team và những nhà nghiên cứu lỗ hổng bảo mật trên WordPress. Bất cứ ai cũng có thể gửi lỗ hổng mới thông qua trang web, nhưng những thông tin về lỗ hổng sẽ được kiểm duyệt và nhập vào cơ sở dũ liệu một cách thủ công.
Các lỗ hổng được chia làm 3 loại: WordPress core, plugins và themes. Cho đến nay, cơ sở dữ liệu này chứa thông tin khoảng 750 lỗ hổng WordPress core, 1,300 lỗ hổng plugin và 350 lỗ hổng theme. Thông tin bao gồm các phiên bản bị ảnh hưởng, tài liệu tham khảo và phân loại.
Các nhà phát triển và người dùng WWPScan có thể sử dụng dữ liệu miễn phí thông qua trang web hoặc API miễn là chúng không dành cho mục đích thương mại. Sẽ cần có giấy phép nếu sử dụng với mục đích thương mại cơ sở dữ liệu này. Một số cải tiến đã được tạo ra dựa vào phản hồi người dùng bao gồm việc bổ sung mã CWE phân loại lỗ hổng. Phiên bản WPScan 2.5 đã được cài đặt sẵn trên các bản phân phối Linux như BackBox, Kali, Pentoo, SamuraiWTF và ArchAssault.
Rất nhiều lỗ hổng được phát hiện trong WordPress và WordPress plugin gần đây. Tháng trước, WordPress đã sửa một lỗ hổng có thể khai thác từ xa nhằm phục vụ tấn công từ chối dịch vụ. Các vấn đề bảo mật với plugin cũng rất nguy hiểm. Trong tháng 7, Sucuri đã báo cáo lỗ hổng trong MailPoet plugin khai thác hàng ngàn trang web. Gần đây, tin tặc đã lợi dụng lỗ hổng trong plugin Slider Revolution nhằm tấn công các trang web WordPress.
Securityweek