Tất cả những ai đang sử dụng plugin All-in-One WP Migration hãy update lên version 7.0 ngay lập tức.
Vì phiên bản 6.97 có chứa lỗi bảo mật cross-site-scripting rất nghiệm trọng.
Chi tiết lỗi này được báo cáo như sau:
“An attacker would already have to be able to either compromise the database or gain access to a user account with high enough privileges to view the backup history, so some damage has already been done, but such an attacker could then also insert some XSS in order to compromise other admin users.
When double-clicking the backup description on the backup history overview page, in order to edit the description text, the text is not sanitized/escaped via html entities when generating the input field”.
Đại loại được hiểu là:
Kẻ tấn công sẽ có quyền truy cập vào database, hoặc tài khoản của user có đủ quyền để xem thông tin lịch sử backup.
Chúng có thể lợi dụng những thông tin này để gây hại cho bạn.
Hoặc hacker có thể chèn một số đoạn mã XSS để chiếm quyền admin khác (tấn công chéo).
Khi double click vào phần thông tin khi sao lưu trên trang lịch sử backup, để chỉnh sửa văn bản mô tả, văn bản không được chuẩn hóa và xác thực khi tạo file html
Phiên bản 7.0 đã được phát hành trên WordPress.org vài ngày trước và bản vá lỗ hổng.
Theo số liệu thống kê trên WordPress.org, All-in-One WP Migration được cài đặt thành công trên 2.000.000+ trang web.
Update ngày 19/07
All-in-One WP Migration đã phát hành bản cập nhật mới giải quyết một vấn đề bảo mật khác được giới thiệu trong 7.0.
Người dùng được khuyến khích update lên 7.1 càng sớm càng tốt.
Quảng Cáo chút 😀
Mình có cung cấp:
- All-in-One WP Migration Unlimited Extension (bản Free giới hạn 500MB backup, extension này sẽ bỏ giới hạn đó)
- All-in-One WP Migration Google Drive Extension (hỗ trợ import/export từ Google Drive)
Bạn nào cần có thể qua TheDevKit mua nhé :D, giá rất yêu thương !
Cảm ơn Ad, mình vào nâng cấp luôn cho an toàn 🙂
Ad vui tính ghê 😆 chèn qc rất có tâm và không gây khó chịu 😆 Tks Ad đã thông báo nhưng e k dùng cái này ^^