LayerSlider là một công cụ linh hoạt dùng để tạo các thanh trượt (sliders) tùy ý theo kích thước màn hình hiển thị, thư viện ảnh và hoạt ảnh trên các trang web , cho phép người dùng xây dựng các thành phần trực quan với nội dung động trên nền tảng trực tuyến.
Lỗ hổng nghiêm trọng có định danh CVE-2024-2879 (điểm CVSS: 9,8), do nhà nghiên cứu AmrAwad phát hiện và báo cáo cho công ty bảo mật Wordfence của WordPress vào ngày 25/3/2024. AmrAwad đã nhận được 5.500 USD tiền thưởng cho việc báo cáo lỗ hổng.
Lỗ hổng ảnh hưởng đến các phiên bản plugin từ 7.9.11 đến 7.10.0, có thể cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm như mã băm mật khẩu từ cơ sở dữ liệu của , khiến chúng có nguy cơ bị chiếm đoạt hoặc vi phạm dữ liệu.
Chi tiết kỹ thuật được cung cấp trong báo cáo của Wordfence cho thấy lỗ hổng tồn tại trong quá trình xử lý tham số 'id' của chức năng 'ls_get_popup_markup' trong plugin.
Chức năng này xử lý tham số 'id' không đúng cách, cho phép kẻ tấn công chèn mã SQL độc hại vào các câu truy vấn, dẫn đến việc thực thi lệnh.
Một phần của mã nguồn dễ bị tấn công (Nguồn: Wordfence)
Cấu trúc của các truy vấn có thể giới hạn cuộc tấn công, tuy nhiên tin tặc vẫn có thể khai thác lỗ hổng bằng cách sử dụng kỹ thuật tấn công time-based blind SQL injection, trong đó kẻ tấn công sẽ dựa vào thời gian phản hồi để suy đoán dữ liệu trong .
Mặc dù bị hạn chế, CVE-2024-2879 vẫn cho phép các tác nhân độc hại trích xuất thông tin từ cơ sở dữ liệu của trang web, bao gồm mã băm của mật khẩu và thông tin nhạy cảm của người dùng, mà không yêu cầu bất kỳ kiểm tra xác thực nào trên trang web.
Wordfence cho biết vấn đề càng trở nên trầm trọng hơn do các truy vấn không được xử lý bằng chức năng '$wpdb->prepare()' của WordPress, chức năng ngăn chặn việc chèn câu lệnh SQL bằng cách đảm bảo rằng đầu vào của người dùng được kiểm tra và sàng lọc trước khi sử dụng trong các truy vấn cơ sở dữ liệu.
Nhóm phát triển plugin Kreatura Team đã phát hành bản cập nhật bảo mật vào ngày 27/3/2024, chưa đầy 48 giờ sau khi được báo cáo lỗ hổng.
Người dùng LayerSlider nên nâng cấp lên phiên bản 7.10.1 ngay lập tức để giải quyết lỗ hổng nghiêm trọng này.
Để giảm thiểu các rủi ro bị tấn công, quản trị viên trang WordPress cần thường xuyên kiểm tra, cập nhật tất cả các plugin đang sử dụng và vô hiệu hóa những plugin không cần thiết, sử dụng mật khẩu mạnh, đồng thời vô hiệu hóa các tài khoản không còn hoạt động.
Nguyễn Hà Phương
09:00 | 02/04/2024
11:00 | 29/05/2024
07:00 | 19/05/2023
15:00 | 28/05/2024
13:00 | 16/09/2022
14:00 | 31/05/2024
13:00 | 27/05/2024
14:00 | 02/10/2024
Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cảnh báo hình thức lừa đảo mới thông qua Google Voice với người dùng Việt Nam.
15:00 | 30/09/2024
Trong thời điểm iPhone 16 cũng như các sản phẩm mới của Apple được công bố, một số đối tượng đã giả mạo CEO Tim Cook của Apple để phát livestream với nội dung kêu gọi đầu tư tiền ảo bằng công nghệ Deepfake.
07:00 | 23/09/2024
Hai công dân Kazakhstan và Nga đã bị truy tố tại Mỹ vì bị cáo buộc tham gia quản lý một diễn đàn Dark Web có tên là WWH Club, chuyên bán thông tin cá nhân và thông tin tài chính nhạy cảm.
15:00 | 12/09/2024
Trong nỗ lực phòng, chống sự gia tăng các cuộc tấn công mạng, Google và Cơ quan khoa học quốc gia của Úc sẽ chung tay phát triển các công cụ kỹ thuật số tự động nhằm phát hiện và sửa các lỗ hổng phần mềm cho các nhà điều hành cơ sở hạ tầng quan trọng.
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Ngày 22/10, Giao lưu hữu nghị quốc phòng biên giới Việt Nam - Lào lần thứ hai chính thức bắt đầu với lễ đón đoàn đại biểu Lào tại cửa khẩu Lóng Sập, huyện Mộc Châu, tỉnh Sơn La.
16:00 | 23/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024