All-in-One WP Migration version 7.0 vá lỗi bảo mật XSS nghiêm trọng

Tất cả những ai đang sử dụng plugin All-in-One WP Migration hãy update lên version 7.0 ngay lập tức.

Vì phiên bản 6.97 có chứa lỗi bảo mật cross-site-scripting rất nghiệm trọng.

Chi tiết lỗi này được báo cáo như sau:

“An attacker would already have to be able to either compromise the database or gain access to a user account with high enough privileges to view the backup history, so some damage has already been done, but such an attacker could then also insert some XSS in order to compromise other admin users.

When double-clicking the backup description on the backup history overview page, in order to edit the description text, the text is not sanitized/escaped via html entities when generating the input field”.

Đại loại được hiểu là:

Kẻ tấn công sẽ có quyền truy cập vào database, hoặc tài khoản của user có đủ quyền để xem thông tin lịch sử backup.

Chúng có thể lợi dụng những thông tin này để gây hại cho bạn.

Hoặc hacker có thể chèn một số đoạn mã XSS để chiếm quyền admin khác (tấn công chéo).

Khi double click vào phần thông tin khi sao lưu trên trang lịch sử backup, để chỉnh sửa văn bản mô tả, văn bản không được chuẩn hóa và xác thực khi tạo file html

Phiên bản 7.0 đã được phát hành trên WordPress.org vài ngày trước và bản vá lỗ hổng.

Theo số liệu thống kê trên WordPress.org, All-in-One WP Migration được cài đặt thành công trên 2.000.000+ trang web.

Update ngày 19/07

All-in-One WP Migration đã phát hành bản cập nhật mới giải quyết một vấn đề bảo mật khác được giới thiệu trong 7.0.

Người dùng được khuyến khích update lên 7.1 càng sớm càng tốt.

Quảng Cáo chút 😀