- Trang khách hàng
- Thông báo
- Thông tin về lỗi bảo mật của mã nguồn Wordress
Kính chào quý khách !
Vào ngày 6/3/2017 mã nguồn Wordpress đã ra mắt một phiên bản mới 4.7.3 để vá các lỗi bảo mật nghiêm trọng. Trong đó lỗi nghiêm trọng nhất là việc attacker lợi dụng Media File Metadata để upload script nguy hiểm vào mã nguồn để điều khiển việc xóa, sửa tập tin. Đặc biệt nghiêm trong hơn là việc can thiệp xuống database để thay đổi tiêu đề, nội dung bài viết hoặc chuyển hướng các bài viết sang 1 trang web đích của Attacker. Mục tiêu nhằm kéo traffic về site đích của Attacker.
SuperHost thông tin này để quý khách đang sử dụng mã nguồn wordpress hãy tiến hành nâng cấp lên phiên bản wordpress mới nhất 4.7.3 để khắc phục các lỗi nghiêm trọng đó. Thông tin chi tiết quý khách có thể tham khảo thêm tại trang chủ Wordpress.org như sau:
https://wordpress.org/news/
Trân trọng thông báo.
Vào ngày 6/3/2017 mã nguồn Wordpress đã ra mắt một phiên bản mới 4.7.3 để vá các lỗi bảo mật nghiêm trọng. Trong đó lỗi nghiêm trọng nhất là việc attacker lợi dụng Media File Metadata để upload script nguy hiểm vào mã nguồn để điều khiển việc xóa, sửa tập tin. Đặc biệt nghiêm trong hơn là việc can thiệp xuống database để thay đổi tiêu đề, nội dung bài viết hoặc chuyển hướng các bài viết sang 1 trang web đích của Attacker. Mục tiêu nhằm kéo traffic về site đích của Attacker.
SuperHost thông tin này để quý khách đang sử dụng mã nguồn wordpress hãy tiến hành nâng cấp lên phiên bản wordpress mới nhất 4.7.3 để khắc phục các lỗi nghiêm trọng đó. Thông tin chi tiết quý khách có thể tham khảo thêm tại trang chủ Wordpress.org như sau:
https://wordpress.org/news/
WordPress 4.7.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.
WordPress versions 4.7.2 and earlier are affected by six security issues:
- Cross-site scripting (XSS) via media file metadata. Reported by Chris Andrè Dale, Yorick Koster, and Simon P. Briggs.
- Control characters can trick redirect URL validation. Reported by Daniel Chatfield.
- Unintended files can be deleted by administrators using the plugin deletion functionality. Reported by TrigInc and xuliang.
- Cross-site scripting (XSS) via video URL in YouTube embeds. Reported by Marc Montpas.
- Cross-site scripting (XSS) via taxonomy term names. Reported by Delta.
- Cross-site request forgery (CSRF) in Press This leading to excessive use of server resources. Reported by Sipke Mellema.
Trân trọng thông báo.
Wednesday, March 15, 2017
