Lỗ hổng của một plugin tối ưu Google Fonts có thể giúp những kẻ tấn công xâm nhập, xóa các thư mục và thực hiện các cuộc tấn công Cross Site Scripting (tải lên các file độc hại).
Tên chính xác của plugin này là OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy., plugin này giúp tối ưu hóa sử dụng Google Fonts, giảm tác động đến tốc độ tải trang và tuân thủ theo GDPR.
Lỗ hổng được đánh giá ẩn chứa nguy cơ cao về bảo mật này đã được vá trong bản cập nhật mới nhất 5.7.10.
Chi tiết về lỗ hổng bảo mật
Lỗ hổng này đặc biệt đáng lo ngại vì nó cho phép những kẻ tấn công không được xác thực (không cần phải đăng ký trên website hoặc có bất kỳ cấp độ xác thực nào).
Lỗ hổng này cho phép xóa thư mục không được xác thực và cho phép tải lên các file độc hại Cross-Site Scripting (XSS).
Cross-Site Scripting (XSS) là một kiểu tấn công trong đó một file độc hại được tải lên máy chủ của website, sau đó kẻ tấn công có thể sử dụng nó để tấn công từ xa trình duyệt của bất kỳ khách truy cập nào. Điều này có thể dẫn đến việc truy cập cookie hoặc thông tin phiên của người dùng, cho phép kẻ tấn công chiếm lấy thông tin của người dùng khi truy cập website.
Nguyên nhân của lỗ hổng bảo mật được các nhà nghiên cứu của Wordfence xác định là do thiếu tính năng kiểm tra khả năng người dùng, đây là một tính năng bảo mật dùng để kiểm tra xem người dùng có quyền truy cập vào một tính năng cụ thể của plugin hay không, trong trường hợp này là tính năng của Quản trị viên.
Theo Wordfence, phiên bản 5.7.10 là phiên bản an toàn nhất, do vậy người dùng WordPress nếu sử dụng plugin này hãy tiến hành cập nhật phiên bản mới nhất ngay lập tức.