Thông qua bài viết trên website exploit-db, whitehat Ban quản trị NukeViet xác nhận lỗi và đã có phương án fix lỗi. Dự kiến bản fix lỗi sẽ được phát hành trong ngày 27/05/2020. Để website được an toàn trước khi có bản fix lỗi, các quản trị site nên thực hiện một số biện pháp sau:
1. Tất cả các quản trị site, đặc biệt là điều hành chung và quản trị tối cao sau khi đăng nhập admin để làm việc xong nên thoát khỏi tài khoản admin. Trong thời gian đang đăng nhập admin không nên truy cập các trang web khác đặc biệt là các trang blog cá nhân, các diễn đàn.
2. Không nên truy cập các trang web lạ, nhấp vào các nút ấn, các liên kết đáng ngờ.
3. Đổi tên thư mục admin mặc định (xem hướng dẫn ở
https://wiki.nukeviet.vn/nukeviet4:setup:security#d%E1%BB%95i_ten_thu_m%E1%BB%A5c_admin)
4. Phân quyền các quản trị (quản lý module) một cách hợp lý, thông báo với các quản lý module, điều hành chung về các biện biện pháp tại mục 1, 2
5. Nếu có thể, nên áp dụng thêm các biện pháp bảo mật tại
https://wiki.nukeviet.vn/nukeviet4:setup:securityCập nhật 16h ngày 27/05/2020:
Theo đánh giá kỹ của BQT, với lỗi này, khả năng bị tấn công là rất thấp đối với các site đang ở bản 4.3.06 về sau. Các site đang ở phiên bản 4.3.05 về trước mới có thể bị ảnh hưởng. Nếu site của bạn chưa được nâng cấp, hãy nâng cấp tối thiểu lên 4.3.06 (
https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-3-06-597.html) hoặc bản mới nhất có thể (
https://nukeviet.vn/vi/news/Tin-tuc/thong-bao-phat-hanh-nukeviet-4-4-00-621.html)
Xem thêm đánh giá ở:
https://writeblabla.com/blog/danh-gia-ve-loi-bao-mat-csrf-cua-nukeviet-va-nhung-dieu-quan-tri-site-nen-lam.htmlDo đó BQT sẽ hoãn thời gian phát hành bản FIX để kiểm tra kỹ hơn và có các chỉnh sửa tối ưu nhất.
Thời gian phát hành bản Fix sẽ được thông báo sau
Cập nhật sáng ngày 27/05/2020:
Hệ thống CORS mặc định của NukeViet, có thể chặn đa số các thao tác lợi dụng này, do đó quản trị không nên quá lo lắng về lỗi. Đồng thời triển khai thực hiện thêm các bước sau:
6. Yêu cầu tất cả các quản trị sử dụng các trình duyệt hiện đại như Chrome 83+, Firefox 76+, Edge sử dụng nhân Chromium
7. Kiểm tra và kích hoạt "
Giới hạn tên miền" tại khu vực
Quản trị > Cấu hình > Thiết lập an ninh > Thiết lập CORS nếu chưa kích hoạt
Hiện tại kiểm tra thấy, việc tác động từ bên ngoài site vào khả năng gây nguy hiểm là rất thấp do đó quản trị nên rà soát lại và thực hiện thao tác số 4 trong hướng dẫn này.
Các quản trị site tiếp tục theo dõi trên
nukeviet.vn để cập nhật các thông báo tiếp theo.