WordPress Core 6.5.5đã được phát hành ngày hôm qua, ngày 24 tháng 6 năm 2023. Trong bản phát hành này có ba bản sửa lỗi bảo mật giải quyết hai lỗ hổng Cross-Site Scripting (XSS) và một lỗ hổng Directory Traversal dành riêng cho Windows. Mặc dù các lỗ hổng này có mức độ nghiêm trọng trung bình, nhưng lỗ hổng nghiêm trọng nhất trong số chúng (cụ thể là lỗ hổng XSS) có thể cho phép người dùng cấp cộng tác viên đã xác thực tiếp quản trang web nếu khai thác thành công.
Lỗ hổng Directory Traversal đã được đưa vào mọi phiên bản WordPress kể từ phiên bản 4.1, với các lỗ hổng XSS được đưa vào phiên bản chính có chức năng được phát hành. WordPress đã hỗ trợ các bản cập nhật cốt lõi tự động cho các bản phát hành bảo mật kể từ WordPress 3.7 và phần lớn các trang web WordPress sẽ tự động nhận được bản vá cho phiên bản WordPress chính của họ trong 24 giờ tới. Chúng tôi khuyên bạn nên xác minh rằng trang web của bạn đã được tự động cập nhật lên một trong các phiên bản được vá lỗi. Các phiên bản vá lỗi có sẵn cho mọi phiên bản chính của WordPress kể từ 4.1, vì vậy bạn có thể cập nhật mà không gặp phải rủi ro về vấn đề tương thích.
Nhóm tình báo mối đe dọa của Wordfence đã phát hành một quy tắc tường lửa mới cùng ngày để bảo vệ khách hàng củaWordfence Premium,Wordfence CarevàWordfence Responseđối với một trong các lỗ hổng XSS không được bảo vệ đầy đủ. Quy tắc này sẽ có sẵn cho người dùng Wordfence miễn phí sau 30 năm nữa ngày, vào ngày 24 tháng 7 năm 2024. Tất cả người dùng Wordfence đều được bảo vệ cho hai lỗ hổng còn lại.
Nếu trang web của bạn chưa được cập nhật tự động, chúng tôi thực sự khuyên bạn nên cập nhật thủ công càng sớm càng tốt, vì hai trong số các lỗ hổng được vá trong bản phát hành này có thể bị kẻ tấn công sử dụng bằng tài khoản cấp cộng tác viên có đặc quyền thấp để chiếm lấy trang web.
Phân tích kỹ thuật và Tổng quan
Giống như mọi bản phát hành cốt lõi của WordPress có chứa các bản sửa lỗi bảo mật, nhóm Wordfence Threat Intelligence đã phân tích chi tiết các thay đổi mã để đánh giá tác động của các lỗ hổng này đối với khách hàng của chúng tôi và để đảm bảo khách hàng của chúng tôi vẫn được bảo vệ.
Contributor+ Lưu trữ tập lệnh chéo trang trong API HTML
WordPress Core dễ bị tấn công bởi Stored Cross-Site Scripting thông qua API HTML trong các phiên bản khác nhau lên đến 6.5.5 do không đủ khả năng lọc đầu vào và thoát đầu ra trên URL. Điều này giúp những kẻ tấn công được xác thực, với quyền truy cập cấp cộng tác viên trở lên, có thể chèn các tập lệnh web tùy ý vào các trang sẽ thực thi bất cứ khi nào người dùng truy cập vào trang được chèn.
Bộthay đổitrong WordPress 6.5.5 bổ sung thêm các biện pháp bảo vệ bổ sung trong hàm set_attribute() của API HTML để thoát khỏi các thuộc tính URL hơn nữa. Ngoài ra,bộ thay đổinày còn bổ sung thêm các cải tiến.
Contributor+ Lưu trữ tập lệnh chéo trang trong khối phần mẫu
WordPress Core dễ bị Stored Cross-Site Scripting thông qua khối Template Part trong nhiều phiên bản lên đến 6.5.5 do không đủ chuẩn hóa đầu vào và thoát đầu ra trên các thuộc tính ‘tagName’. Điều này khiến những kẻ tấn công đã xác thực, với quyền truy cập cấp cộng tác viên trở lên, có thể chèn các tập lệnh web tùy ý vào các trang sẽ thực thi bất cứ khi nào người dùng truy cập vào một trang đã chèn.
Bộthay đổidành cho WordPress 6.5.5 bổ sung thêm tính năng dọn dẹp cho thuộc tính ‘tagName’ của khối Phần mẫu. Khối Phần mẫu có sẵn cho người dùng ở cấp độ cộng tác viên. Tuy nhiên, việc khai thác chỉ có thể thực hiện được khi chủ đề của trang web sử dụng khối cụ thể này.
Duyệt thư mục chỉ dành cho Windows
Tương tự như lỗ hổng trước đó, lỗ hổng Directory Traversal này có thể bị khai thác thông qua khối Phần mẫu. Bộthay đổidành cho WordPress 6.5.5 hiển thị việc bổ sung chức năng chuẩn hóa đường dẫn trong hàm valid_file().
Phần kết luận
WordPress 6.5.5 bao gồm các bản vá cho 3 lỗ hổng ở mức độ trung bình. Hai trong số những lỗ hổng này rất dễ bị khai thác với tư cách là người dùng cộng tác viên + được xác thực và chúng tôi khuyên bạn nên cập nhật ngay lập tức nếu trang web của bạn chưa tự động thực hiện việc này.
Chúng tôi đã phát hành một quy tắc tường lửa mới để bảo vệ khách hàngWordfence Premium,Wordfence CarevàWordfence Response. Quy tắc này sẽ có sẵn cho người dùng Wordfence miễn phí sau 30 ngày, vào ngày 24 tháng 7 năm 2024.
Nếu bạn biết ai đó sử dụng WordPress và không tự động cập nhật nó, chúng tôi khuyên bạn nên chia sẻ lời khuyên này với họ để đảm bảo trang web của họ vẫn được an toàn, vì một số lỗ hổng trong số này gây ra rủi ro đáng kể.
Đối với các nhà nghiên cứu bảo mật muốn tiết lộ các lỗ hổng một cách có trách nhiệm và lấy ID CVE, bạn có thể gửi phát hiện của mình tớiChương trình tiền thưởng lỗi thông minh của Wordfencevà kiếm được tới 10.400 USD cho việc gửi của mình.
Đặc biệt cảm ơn István Márton, Nhà nghiên cứu lỗ hổng của Wordfence, vì đã hỗ trợ kỹ thuật đảo ngược các bản vá và đảm bảo người dùng Wordfence được bảo hiểm đầy đủ.
