Ghost 4.15.1: Cập nhật vá lỗi tính năng thành viên (member) 🐞

Bản vá bảo mật tính năng thành viên.

Cường Trần
Cường Trần
1 phút đọc

Trước đây, bạn có thể thêm thành viên vào Ghost site của bạn thông qua một API ẩn là

POST /members/api/send-magic-link/

Kỹ thuật này tuy tôi đã sử dụng thàng công, nhưng khi nhận thức lại thì nó rõ ràng tiềm ẩn rủi ro về bảo mật, và đúng là hôm nay Ghost đã chặn cách này để bảo mật.

Phương thức này có thể bị chuyển đổi sang tấn công site bạn bằng việc chèn các thành viên spam vào site bạn mà bỏ qua các lớp bảo vệ như xác thực email, cũng như thay đổi địa chỉ email của thành viên khác.

Nếu bạn đang dùng Ghost (Pro) thì bạn sẽ được cập nhật tự động. Mọi site host bởi ghostFam cũng được cập nhật phiên bản mới nhất 4.16 để bảo vệ site bạn.

Ngoài lề một chút về báo lỗi của Ghost

Tôi đã từng nghĩ việc Ghost Dashboard trưng bày quá nhiều thông tin của Ghost cũng như có chút can thiệp vào site bạn là không tốt, nhưng hôm nay sau khi nhận được các thông báo của Ghost trực tiếp ở Dashboard và email thì mới thấy rằng Ghost đã tính toán sẵn cho các  tình huống mật cấp bách như hôm nay.

Thông tin chi tiết về lỗi bảo mật này bạn có thể xem tại đây.

Good job, Ghost team!👍

Tin Tức

Bạn có thể quan tâm

🔥 Ghost 4.9: Hỗ trợ ảnh WebP và cải thiện SEO cho bài viết

Ghost vừa cập nhật phiên bản 4.9, chính thức hỗ trợ định dạng ảnh Webp và cải thiện SEO cho mỗi bài viết.

🔥 Ghost 4.9: Hỗ trợ ảnh WebP và cải thiện SEO cho bài viết

🔥 Ghost 4.4: Cho phép tắt hoàn toàn Ghost Portal khi không cần

Cách tắt Ghost Portal dành cho blog không dùng tính năng membership gửi email.

🔥 Ghost 4.4: Cho phép tắt hoàn toàn Ghost Portal khi không cần

🔥 Ghost 4: Cập nhật lớn và các thay đổi quan trọng

Ghost 4 chính thức ra mắt sau gần 1 năm beta. Hãy cùng tìm hiểu một số thay đổi đáng chú ý ở phiên bản này.

🔥 Ghost 4: Cập nhật lớn và các thay đổi quan trọng
Cường Trần

Cường Trần

Cường chuyên viết về giải pháp liên quan đến WordPress và Ghost, là một How-to blogger thực chiến.

bởi @CườngTrần