Một plugin khác đã lọt vào danh sách ngày càng gia tăng các plugin WordPress dễ bị tấn công. Plugin miễn phí FV Flowplayer Video Player của WordPress đang được sử dụng để nhúng video FLV hoặc MP4 vào các bài đăng hoặc trang được phát hiện là có thể dễ bị tấn công bởi XSS, SQL injection &CSV Export. Được cài đặt trên hơn 40.000 trang web hiện tại, nó đã được cập nhật chỉ 4 ngày trước sau khi các lỗ hổng bảo mật được báo cáo. Các phiên bản trước 7.3.14.727 dễ bị tấn công bởi các cuộc tấn công đã đề cập.
Lỗ hổng trong trình phát video FV Flowplayer SQLi
Lỗ hổng SQLi khá nghiêm trọng này trong FV Flowplayer cho phép kẻ tấn công chưa được xác thực tiêm mã JavaScript độc hại.
Hàm dễ bị tấn công ở đây là `wp_ajax_nopriv_fv_wp_flowplayer_email_signup `ajax hook. ‘email ‘Trong tập lệnh trên chấp nhận bất kỳ đầu vào nào trong trường email và dữ liệu được truyền đến cơ sở dữ liệu email nhạy cảm.
Trong trường hợp lỗ hổng SQLi trong WordPress, các dấu hiệu sau có thể giúp bạn xem trang web của bạn có đang bị xâm phạm hay không. Đây là danh sách:
- Người dùng quản trị mới đã được thêm
- Mật khẩu người dùng quản trị không hoạt động
- Tin tặc đã gửi email kèm theo ảnh chụp màn hình cơ sở dữ liệu
- Mã thông báo Authorize.net bị rò rỉ
- Trang web đã bị đánh bại
Lỗ hổng XSS của trình phát video FV Flowplayer
Đến lượt nó, các mã độc hại trên được thực thi trong trình duyệt web của quản trị viên.
Như đã thảo luận trước đó, đầu vào độc hại sẽ đến màn hình xuất email mà không được khử trùng. Hậu quả của việc này có thể rất tàn khốc vì điều này có thể dẫn đến các cuộc tấn công tập lệnh xuyên trang liên tục.
Nó lưu mọi thứ mà người dùng cung cấp trong tham số POST của `email`.
Lỗ hổng XSS là một lỗ hổng khá nghiêm trọng vì nó có thể dẫn đến thiệt hại khá nghiêm trọng cho trang web WordPress của bạn nếu bị khai thác. Được liệt kê dưới đây chỉ là một số khai thác có thể xảy ra có thể phát sinh từ lỗ hổng XSS. Hoặc bạn cũng có thể coi đây là một triệu chứng của việc bị xâm phạm:
- Chuyển hướng đến một trang web khác
- Cửa sổ bật lên độc hại
- Hack thẻ tín dụng WooCommerce
- Quảng cáo google độc hại trên trang web
- Tên người dùng / Mật khẩu của trang web bị xâm phạm
Lỗ hổng xuất CSV của trình phát video FV Flowplayer
Một lỗ hổng khác đã được phát hiện trong trình phát FV là Lỗ hổng xuất CSV . Lỗ hổng này cho phép bất kỳ người dùng khách nào tải xuống danh sách của người đăng ký, điều này thực tế là vi phạm quyền riêng tư. Và đặc biệt nguy hiểm nữa, dữ liệu này có thể được sử dụng theo nhiều cách khác nhau để khai thác trang web WordPress của bạn.
Giải pháp cho An toàn
Các lỗ hổng, nếu không được điều trị, có thể dẫn đến một cuộc tấn công mạng tàn bạo. Và bạn không muốn điều đó cho các trang web của chúng tôi. Vì vậy, đặt cược tốt nhất bạn có thể có trong những thời điểm rất khó đoán này là cập nhật plugin. Hơn nữa,
Cập nhật lên các phiên bản mới nhất
FV Flowplayer Video Player đã đẩy ra các phiên bản vá lỗi là phiên bản mới nhất 7.3.15.727. Cập nhật plugin của bạn lên phiên bản này sẽ giảm thiểu rủi ro rất cao.
Astra WordPress Security Suite
Trang web Astra Security được thiết kế riêng cho WordPress cung cấp Tường lửa ứng dụng web bảo vệ trang web của bạn khỏi XSS, SQLi, CSV, bot xấu và hơn 100 cách khai thác khác. Ngoài tường lửa, trình quét phần mềm độc hại của Astra được biết là có thể quét một trang web trong vòng chưa đầy 10 phút và mất dưới 3 phút cho các lần quét tiếp theo.
Nhận bản demo Astra ngay bây giờ hoặc trò chuyện với chúng tôi và chúng tôi sẽ sẵn lòng trợ giúp bạn.