-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng Yoast SEO khiến hàng triệu trang web WordPress bị tấn công
Yoast SEO, plugin WordPress được sử dụng rộng rãi với hơn 5 triệu lượt cài đặt đang hoạt động, đã bị phát hiện dễ bị tấn công bởi lỗ hổng Stored Cross-Site Scripting (XSS).
Lỗ hổng này có mã là CVE-2024-4984 có thể cho phép tin tặc đưa các tập lệnh có hại vào các trang web, xâm phạm dữ liệu của khách truy cập, chuyển hướng lưu lượng truy cập hoặc thậm chí chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Lỗ hổng XSS tồn tại trong trường “display_name”, được sử dụng để hiển thị tên tác giả trên các bài đăng và trang blog. Do không đủ khả năng kiểm soát dữ liệu đầu vào và đầu ra, những kẻ tấn công có quyền truy cập cấp cộng tác viên trở lên có thể thao túng trường này để tiêm mã độc.
Bất kỳ trang web WordPress nào chạy Yoast SEO phiên bản 22.6 trở xuống đều có nguy cơ bị tấn công. Xem xét mức độ phổ biến rộng rãi của plugin, hàng triệu trang web có thể gặp lỗ hổng này.
Tác động của một cuộc tấn công XSS thành công có thể rất nghiêm trọng:
Lỗ hổng này có mã là CVE-2024-4984 có thể cho phép tin tặc đưa các tập lệnh có hại vào các trang web, xâm phạm dữ liệu của khách truy cập, chuyển hướng lưu lượng truy cập hoặc thậm chí chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Lỗ hổng XSS tồn tại trong trường “display_name”, được sử dụng để hiển thị tên tác giả trên các bài đăng và trang blog. Do không đủ khả năng kiểm soát dữ liệu đầu vào và đầu ra, những kẻ tấn công có quyền truy cập cấp cộng tác viên trở lên có thể thao túng trường này để tiêm mã độc.
Bất kỳ trang web WordPress nào chạy Yoast SEO phiên bản 22.6 trở xuống đều có nguy cơ bị tấn công. Xem xét mức độ phổ biến rộng rãi của plugin, hàng triệu trang web có thể gặp lỗ hổng này.
Tác động của một cuộc tấn công XSS thành công có thể rất nghiêm trọng:
- Trộm cắp dữ liệu: Kẻ tấn công có thể đánh cắp thông tin nhạy cảm như thông tin đăng nhập của người dùng hoặc dữ liệu tài chính.
- Phá hoại trang web: Những kẻ độc hại có thể thay đổi giao diện hoặc nội dung của trang web.
- Tấn công lừa đảo: Tin tặc có thể tạo các trang đăng nhập hoặc cửa sổ bật lên giả mạo để lừa người dùng tiết lộ thông tin của họ.
- Phân phối phần mềm độc hại: Các tập lệnh được chèn có thể tải phần mềm độc hại xuống thiết bị của khách truy cập
Chỉnh sửa lần cuối: