WordPress vá lỗ hổng 0day nghiêm trọng trong REST API

09/02/2017 09:00

Ngày 02/02, WordPress phát hành một bản cập nhật vá ba lỗ hổng bảo mật, trong đó có một lỗ hổng zero-day nghiêm trọng trong REST API của WordPress cho phép nâng cao đặc quyền và xóa các trang WordPress từ xa.

WordPress là mã nguồn CMS sử dụng PHP + MySQL, hiện có ít nhất 18 triệu trang mạng sử dụng hệ thống này.

Lỗ hổng được phát hiện bởi hãng bảo mật Sucuri (Mỹ), cho phép kẻ tấn công leo thang đặc quyền và thêm nội dung chưa được thẩm định, chỉnh sửa, xóa các tất cả các bài viết trên WordPress.

111
WordPress là mã nguồn CMS sử dụng PHP + MySQL, hiện có ít nhất 18 triệu trang mạng sử dụng hệ thống này.

Hai phiên bản WordPress 4.7.0 và WordPress 4.7.1 được hỗ trợ chức năng REST API, giúp người dùng truy vấn dữ liệu, tạo và chỉnh sửa dữ liệu trên blog một cách dễ dàng thông qua giao thức HTTP.

Nhóm chuyên gia bảo mật của WordPress ngày 02/02 đã công bố bản cập nhật WordPress 4.7.2 bí mật vá lỗ hổng này, nguyên nhân không công khai là vì tránh thu hút kẻ xấu lợi dụng khai thác lỗ hổng.

Phương Anh (dịch từ Hacker News)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video