Một lỗ hổng nghiêm trọng trong tên miền phụ của Ferrari là media.ferrari.com cho phép tin tặc đọc các tệp tin nhạy cảm trên máy chủ.
Lỗ hổng này liên quan đến việc sử dụng một plugin của WordPress có tên W3 Total Cache. Plugin này được sử dụng bởi hàng triệu trang web WordPress để tăng hiệu suất trang, tuy nhiên phiên bản cũ của nó tồn tại lỗ hổng.
Tên miền media.ferrari.com đang sử dụng phiên bản W3 Total Cache 0.9.3 đã quá cũ, trong khi phiên bản mới nhất của plugin này là 2.3.1.
Lỗ hổng trong plugin được theo dõi là CVE-2019-6715, ảnh hưởng đến các phiên bản W3 Total Cache trước 0.9.4, có thể bị tin tặc chưa được xác thực khai thác để đọc các tệp tùy ý. Việc khai thác lỗ hổng cho phép tin tặc lấy được tệp ‘wp-config.php’ – tệp lưu trữ thông tin đăng nhập cơ sở dữ liệu WordPress ở dạng clear text.
Hiện Ferrari đã vá lỗ hổng bằng cách cập nhật plugin WordPress.
Nguồn: Securityweek, GBHackers