WordPress SEO by Yoast dính lỗi Blind SQL Injection

WordPress SEO by Yoast dính lỗi Blind SQL Injection .

Lỗ hổng bảo mật Blind SQL Injection đã được phát hiện trên một trong những WordPress plugins phổ biến nhất hiện nay – WordPress SEO by Yoast, vào ngày hôm qua. WPScan Vulnerability Database chính là đơn vị đã công bố lỗ hổng này đến các tác giả của plugin, kèm theo các khuyến cáo giúp xử lý sự cố:

The latest version at the time of writing (1.7.3.3) has been found to be affected by two authenticated (admin, editor or author user) Blind SQL Injection vulnerabilities.

The authenticated Blind SQL Injection vulnerability can be found within the ‘admin/class-bulk-editor-list-table.php’ file. The orderby and order GET parameters are not sufficiently sanitized before being used within a SQL query.

Yoast đã nhanh chóng có phản hồi khi gần như ngay lập tức phát hành phiên bản 1.7.4 để vá lỗi bảo mật kể trên:

Fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor. Added strict sanitation to order_by and order params. Added extra nonce checks on requests sending additional parameters. Minimal capability needed to access the bulk editor is now Editor. Thanks Ryan Dewhurst from WPScan for discovering and responsibly disclosing this issue.

Nếu bạn đang sử dụng phiên bản gần đây nhất của WordPress SEO by Yoast, bạn nên tiến hành cập nhật nó ngay lập tức để đảm bảo an toàn, bằng cách truy cập vào Dashboard => Updates. Nếu bạn đang sử dụng Jetpack trên tất cả các trang web WordPress của mình, bạn có thể cùng lúc cập nhật cho toàn bộ chúng bằng cách truy cập https://wordpress.com/plugins/wordpress-seo.

Một plugin rất nổi tiếng khác là Akismet cũng đã tung ra phiên bản 3.1 để cải thiện khả năng bảo mật dữ liệu cho người dùng vào hôm nay. Các bạn có thể xem thông tin chi tiết về cập nhật này tại đây.

Cuối cùng, nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)