All-in-One WP Migration version 7.0 vá lỗi bảo mật XSS nghiêm trọng

2
20

Tất cả những ai đang sử dụng plugin All-in-One WP Migration hãy update lên version 7.0 ngay lập tức.

Vì phiên bản 6.97 có chứa lỗi bảo mật cross-site-scripting rất nghiệm trọng.

Chi tiết lỗi này được báo cáo như sau:

“An attacker would already have to be able to either compromise the database or gain access to a user account with high enough privileges to view the backup history, so some damage has already been done, but such an attacker could then also insert some XSS in order to compromise other admin users.

When double-clicking the backup description on the backup history overview page, in order to edit the description text, the text is not sanitized/escaped via html entities when generating the input field”.

Đại loại được hiểu là:

Kẻ tấn công sẽ có quyền truy cập vào database, hoặc tài khoản của user có đủ quyền để xem thông tin lịch sử backup.

Chúng có thể lợi dụng những thông tin này để gây hại cho bạn.

Hoặc hacker có thể chèn một số đoạn mã XSS để chiếm quyền admin khác (tấn công chéo).

Khi double click vào phần thông tin khi sao lưu trên trang lịch sử backup, để chỉnh sửa văn bản mô tả, văn bản không được chuẩn hóa và xác thực khi tạo file html

Phiên bản 7.0 đã được phát hành trên WordPress.org vài ngày trước và bản vá lỗ hổng.

Theo số liệu thống kê trên WordPress.org, All-in-One WP Migration được cài đặt thành công trên 2.000.000+ trang web.

Update ngày 19/07

All-in-One WP Migration đã phát hành bản cập nhật mới giải quyết một vấn đề bảo mật khác được giới thiệu trong 7.0.

Người dùng được khuyến khích update lên 7.1 càng sớm càng tốt.

Quảng Cáo chút 😀

Mình có cung cấp:

Bạn nào cần có thể qua TheDevKit mua nhé :D, giá rất yêu thương !

0 0 vote
Article Rating
Đăng ký
Thông báo về
guest
2 Bình Luận
Inline Feedbacks
View all comments

Trang Nano
23/07/2019 1:28 sáng

Cảm ơn Ad, mình vào nâng cấp luôn cho an toàn 🙂

PCCC Song Thái Tùng
23/07/2019 7:39 sáng

Ad vui tính ghê 😆 chèn qc rất có tâm và không gây khó chịu 😆 Tks Ad đã thông báo nhưng e k dùng cái này ^^