ConvertPro là plugin tạo Opt-in Form hàng đầu thế giới, hiệu nó đang được dùng trên cả triệu Website qua mua trực tiếp hoặc qua các theme tích hợp miễn phí.

Trên CodeCanyon, nó có tên là ConvertPlus, và là một trong những plugin bán chạy nhất mọi thời đại của Envato Market!

Tác giả của nó là một tên tuổi lớn trong cộng đồng WordPress – BrainstormForce!

Nếu còn lạ Brainstorm Force, thì VHW xin nhắc đó là tác giả của bộ Astra Agency – và theme Astra – một trong những theme chuẩn SEO nhất thế giới hiện nay.

Bạn có biết?

Trước đây Brainstorm Force chỉ bán duy nhất plugin ConvertPlug – trên Chợ Plugin lớn nhất thế giới CodeCanyon.

Từ 2017, ConvertPlug tách ra thành Convert Pro – cung cấp hình thức dùng không giới hạn với Unlimited License, còn trên CodeCanyon, nó đổi tên thành Convert Plus!

Vậy nên, ConvertPlug hiện trở thành Convert Pro và Convert Plus!

Lỗ hổng bảo mật XSS trên ConvertPro & ConvertPlug

Là khách hàng ruột của bộ Astra Agency, nên tối ngày 16/5/2019, VHW nhận email sau:

Hello Loan,

We are writing to inform you about an important security update of Convert Pro released a few hours ago. In this update, we have eliminated the vulnerability that would expose your server information.

Since this is a security update, it is highly recommended that you update Convert Pro, and Convert Pro Addon to the latest versions 1.3.6 and 1.2.0 respectively!

Summary of the vulnerability –

..bla bla….

What happened?

Immediate Action Required!

..bla bla….

How to update Convert Pro and the Convert Pro Addon?

..bla bla….
If you have any questions or concerns, please feel free to reach out to us at support@bsf.io.

Toàn bộ Email các bạn có thể xem ở cuối bài này!

 

Thông báo của Brainstorm Force có nghĩa gì?

Nội dung tóm gọn của thông báo trên là:

Một người dùng ConvertPro – tên Dany Bach thông báo với Brainstorm Force về một lỗ hổng bảo mật trên plugin – khiến hacker có thể truy cập được các thông tin của Server chứa Website (hosting).

Hacker có thể thực hiện các cuộc tấn công XSS để khai thác các dữ liệu của Server.

XSS – viết tắt của Cross-site scripting – là tên gọi một phương thức hack website phổ biến mà chuyên đề bảo mật Website của VHW Team đã đề cập:

Tấn công XSS là gì?

Tấn công XSS - nguồn aioncloud. com
Tấn công XSS – nguồn aioncloud. com

Và tác giả đã cùng với ‘người có công’ Dany Bach làm việc nhiều giờ liên tục để vá lỗ hổng bảo mật nghiêm trọng này.

Nên họ đề nghị người dùng update bản mới ngay tức khắc để tránh bị hacker lợi dụng lỗ hổng trên bản cũ và tấn công XSS.

Bản đã fixed lỗi vừa ra mắt 16/05/2019 là:

  1. ConvertPro phiên bản 1.3.6
  2. ConvertPro Addons bản 1.20
  3. Trên Codecanyon và các theme tích hợp là ConvertPlug phiên bản 3.4.2

Vì sao sự cố bảo mật ConvertPro – ConvertPlug nguy hiểm

Convert Pro nằm trong bộ Astra Agency – cung cấp unlimited license, còn phiên bản tương tự bán trên Codecanyon theo hình thức single license – là cái tên quen thuộc Convert Plus.

Ngoài việc bán single license trên CodeCanyon, Convert Plu scòn được các tác giả theme tích hợp dưới dạng Developer License – số lượng đến hàng ngàn theme trên Themeforest!

Tiêu biểu như The7, X theme, Phlox, Deep, .. và rất nhiều theme bán chạy khác!

Plugins tích hợp Theme & Developer License

Vậy nên, lỗ hổng bảo mật trên ConvertPlug & ConvertPro, có thể khiến hàng triệu Website gặp nguy hiểm!

Việc này gợi nhớ đến Cơn bão bảo mật mà Revolution Slider từng tạo ra :

Lỗi bảo mật Revolution Slider & Cơn đau tim của Themeforest

ConvertPro & ConvertPlug hiện tại mức độ phủ sóng chẳng kém gì Revolution Slider năm 2014 – 2016.

Điều may mắn là Brainstorm Force, với sự trợ giúp của Dany Bash đã phát hiện và đưa ra bản vá bảo mật ngay trong ngày, tức vấn đề đã được ‘vợ chồng đóng cửa bảo nhau’ êm đẹp, thậm chí trước khi cả những kẻ chuyên chọc ngoáy lỗ hổng như Sucuri, Wordfence phát hiện và đưa lên sóng để soi!

Tuy nhiên, vấn đề là không phải ai cũng quan tâm tới tin tức bảo mật, và cũng 90% người dùng ConvertPro và ConvertPlug không mua trực tiếp plugin từ tác giả để nhận được email thông báo và đề nghị update như VHW.

Vậy nên, phiên bản cũ vẫn sẽ được dùng trong nhiều tháng hoặc nhiều năm nữa, và hacker – khi đã thấy lỗ hổng – thì họ sẽ khai thác triệt để!

Cần Update ConvertPro & ConvertPlug bản mới ngay

Nếu bạn dùng ConvertPro từ bộ Astra Agency, hãy update lên bản 1.36, các addons thì update lên 1.2.0!

Còn nếu dùng ConvertPlug mua từ Codecanyon, hay đang dùng các theme tích hợp miễn phí ConvertPlug như The7, X theme, Deep, Phlox Pro… hãy tự update ConvertPlug lên bản 3.4.2 hoặc yêu cầu tác giả theme update nhanh nhất có thể!

Với VIP Club Members hoặc khách hàng của VHW Team, bạn hãy update tự động hoặc tải bản mới nhất trên VIP Drive về update thủ công nhé!

Tham khảo thêm:

Toàn văn email của Brainstorm Force:

Hello Loan,

We are writing to inform you about an important security update of Convert Pro released a few hours ago. In this update, we have eliminated the vulnerability that would expose your server information.

Since this is a security update, it is highly recommended that you update Convert Pro, and Convert Pro Addon to the latest versions 1.3.6 and 1.2.0 respectively!

While we have taken appropriate measures, we recommend you to please go through the following details to understand what happened and how it affects you.

Summary of the vulnerability –

Server data would get exposed if someone tried to access it through Cross-site scripting.

What happened?

Thanks to our user – Dany Bach, who informed us about a vulnerability that he came across while using Convert Pro on his website.

We took immediate action and worked along with him to fix this in a few hours. This update is a resultant of this vulnerability fix.

We haven’t heard of any website or server being affected with this as of now.

What are we doing about it?

As mentioned above, we’ve added a vulnerability fix in the most recent versions of Convert Pro and the Convert Pro Addon – versions 1.3.6 and 1.2.0 respectively.

We have checked for the nonce, sanitized input fields and replaced unserialized functions with json_dcode functions that make it secure and prevent any such security breach in the future. Apart from this, we are also taking the following action –

– We have released an immediate automatic update with a notification in the WordPress dashboard.
– We are informing all Convert Pro users
– We are taking all precautionary measures and are actively working with security experts to ensure no other vulnerability is present.

Immediate Action Required!

Since this is a security update, we do not want any of our users to risk their server information. Therefore, it is highly recommended that you update Convert Pro to the latest version so that you can sit back and relax!

How to update Convert Pro and the Convert Pro Addon?

Convert Pro and the Convert Pro Addon can be updated like any other WordPress plugins. You should have already received an update notification in your WordPress backend through which you can update the plugins.

You can also update them manually by downloading the latest versions of the plugin from the downloads page on our store and re-installing them on your website.

While we sincerely apologize for the inconvenience caused, we assure you that this instance has made our team’s commitment to providing quality along with security even stronger.

If you have any questions or concerns, please feel free to reach out to us at support@bsf.io.

Act now,

Team Brainstorm Force

ConvertPro & ConvertPlus dính lỗi bảo mật lớn – update latest ngay!
5 (100%) 3 vote[s]

LEAVE A REPLY

Please enter your comment!
Please enter your name here