LayerSlider là một công cụ linh hoạt dùng để tạo các thanh trượt (sliders) tùy ý theo kích thước màn hình hiển thị, thư viện ảnh và hoạt ảnh trên các trang web WordPress, cho phép người dùng xây dựng các thành phần trực quan với nội dung động trên nền tảng trực tuyến.
Lỗ hổng nghiêm trọng có định danh CVE-2024-2879 (điểm CVSS: 9,8), do nhà nghiên cứu AmrAwad phát hiện và báo cáo cho công ty bảo mật Wordfence của WordPress vào ngày 25/3/2024. AmrAwad đã nhận được 5.500 USD tiền thưởng cho việc báo cáo lỗ hổng.
Lỗ hổng ảnh hưởng đến các phiên bản plugin từ 7.9.11 đến 7.10.0, có thể cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm như mã băm mật khẩu từ cơ sở dữ liệu của trang web, khiến chúng có nguy cơ bị chiếm đoạt hoặc vi phạm dữ liệu.
Chi tiết kỹ thuật được cung cấp trong báo cáo của Wordfence cho thấy lỗ hổng tồn tại trong quá trình xử lý tham số 'id' của chức năng 'ls_get_popup_markup' trong plugin.
Chức năng này xử lý tham số 'id' không đúng cách, cho phép kẻ tấn công chèn mã SQL độc hại vào các câu truy vấn, dẫn đến việc thực thi lệnh.
Một phần của mã nguồn dễ bị tấn công (Nguồn: Wordfence)
Cấu trúc của các truy vấn có thể giới hạn cuộc tấn công, tuy nhiên tin tặc vẫn có thể khai thác lỗ hổng bằng cách sử dụng kỹ thuật tấn công time-based blind SQL injection, trong đó kẻ tấn công sẽ dựa vào thời gian phản hồi để suy đoán dữ liệu trong cơ sở dữ liệu.
Mặc dù bị hạn chế, CVE-2024-2879 vẫn cho phép các tác nhân độc hại trích xuất thông tin từ cơ sở dữ liệu của trang web, bao gồm mã băm của mật khẩu và thông tin nhạy cảm của người dùng, mà không yêu cầu bất kỳ kiểm tra xác thực nào trên trang web.
Wordfence cho biết vấn đề càng trở nên trầm trọng hơn do các truy vấn không được xử lý bằng chức năng '$wpdb->prepare()' của WordPress, chức năng ngăn chặn việc chèn câu lệnh SQL bằng cách đảm bảo rằng đầu vào của người dùng được kiểm tra và sàng lọc trước khi sử dụng trong các truy vấn cơ sở dữ liệu.
Nhóm phát triển plugin Kreatura Team đã phát hành bản cập nhật bảo mật vào ngày 27/3/2024, chưa đầy 48 giờ sau khi được báo cáo lỗ hổng.
Người dùng LayerSlider nên nâng cấp lên phiên bản 7.10.1 ngay lập tức để giải quyết lỗ hổng nghiêm trọng này.
Để giảm thiểu các rủi ro bị tấn công, quản trị viên trang WordPress cần thường xuyên kiểm tra, cập nhật tất cả các plugin đang sử dụng và vô hiệu hóa những plugin không cần thiết, sử dụng mật khẩu mạnh, đồng thời vô hiệu hóa các tài khoản không còn hoạt động.
Nguyễn Hà Phương
09:00 | 02/04/2024
11:00 | 29/05/2024
07:00 | 19/05/2023
15:00 | 28/05/2024
13:00 | 16/09/2022
14:00 | 31/05/2024
13:00 | 27/05/2024
15:00 | 04/03/2025
Theo thống kê từ Bộ phận Nghiên cứu và Phát triển của Hiệp hội Blockchain Việt Nam (VBA) dựa trên báo cáo của Chainalysis và Immunefi, thế giới đã ghi nhận 657 vụ tấn công sàn giao dịch tiền mã hóa, gây thiệt hại lên đến 12,8 tỷ USD trong khoảng thời gian từ năm 2020 đến ngày 25/2/2025, điều này đã rung lên hồi chuông cảnh báo với các sàn giao dịch tiền mã hóa nói riêng và an ninh mạng trên toàn cầu nói chung.
14:00 | 24/01/2025
Với nhu cầu đổi tiền mới, tiền lẻ để mừng tuổi hoặc làm quà tặng trong dịp Tết Nguyên Đán, các dịch vụ đổi tiền trên mạng xã hội đã trở thành một trong những lĩnh vực tiềm ẩn nhiều rủi ro. Trong những năm gần đây, hình thức lừa đảo thông qua dịch vụ đổi tiền trên các nền tảng mạng xã hội đang gia tăng mạnh mẽ, đặc biệt là vào thời điểm cận Tết.
16:00 | 22/01/2025
Trân trọng kính mời các chuyên gia, các cán bộ giảng dạy, nhà nghiên cứu tham gia viết bài cho Hội thảo Khoa học quốc gia “Khoa học tự nhiên và Ứng dụng trong thời đại số” do Học viện Công nghệ Bưu chính Viễn thông phối hợp với Trường Đại học Sư phạm kỹ thuật Hưng Yên và Trường Đại học Kinh tế - Kỹ thuật Công nghiệp tổ chức. Hội thảo dự kiến tổ chức vào ngày 06/6/2025 tại Hà Nội.
10:00 | 26/12/2024
"Gã khổng lồ" công nghệ Apple vừa có động thái công kích đối thủ Meta, cáo buộc Meta liên tục đòi hỏi quyền truy cập vào các công cụ phần mềm cốt lõi, làm dấy lên lo ngại về nguy cơ xâm phạm quyền riêng tư người dùng. Cuộc đối đầu giữa hai "ông lớn" này đang ngày càng nóng lên tại thị trường châu Âu.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngay sau kỳ nghỉ Tết 2025, Tổng công ty Điện lực miền Nam (EVNSPC) đã bắt tay vào công việc. Trên công trường các dự án đầu tư xây dựng lưới điện 110 kV, không khí làm việc luôn được tập trung cao độ với tinh thần làm việc xuyên ngày nghỉ.
14:00 | 14/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
Hai năm sau sự xuất hiện của ChatGPT, mô hình trí tuệ nhân tạo (AI) DeepSeek của Trung Quốc đã ra mắt và mở ra cuộc đua phát triển AI giá rẻ trên toàn cầu.
09:00 | 07/03/2025
