Theo The Hacker News, phiên bản WordPress 6.4.2 vừa được phát hành trong đó đã vá một lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc khai thác bằng cách kết hợp với một lỗi khác để thực thi mã PHP tùy ý trên các website vẫn đang tồn tại lỗi này.
Hãng cho biết lỗ hổng thực thi mã từ xa không thể khai thác trực tiếp trong lõi, tuy nhiên nhóm bảo mật cảm thấy có khả năng gây ra mức độ nghiêm trọng cao khi kết hợp với một số plugin, đặc biệt là trong các bản cài đặt trên nhiều trang.
Theo công ty bảo mật Wordfence, vấn đề bắt nguồn từ một lớp giới thiệu từ phiên bản 6.4 để cải thiện khả năng phân tích cú pháp HTML trong màn hình soạn thảo dạng khối. Thông qua đó, tin tặc có khả năng khai thác lỗ hổng để chèn đối tượng PHP có trong plugin hoặc themes để kết hợp nhằm thực thi mã tùy ý và giành quyền kiểm soát webiste mục tiêu. Hậu quả là kẻ tấn công có thể xóa các tập tin tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.
Trong một lời khuyên tương tự, Patchstack cho biết một chuỗi khai thác đã được tìm thấy trên GitHub kể từ ngày 17.11 và được thêm vào dự án Chuỗi tiện ích chung PHP (PHPGGC). Người dùng nên kiểm tra website của mình theo cách thủ công để đảm bảo đã cập nhật lên phiên bản mới nhất.
WordPress là một hệ thống quản trị nội dung miễn phí, dễ sử dụng và phổ biến trên toàn cầu. Nhờ việc cài đặt dễ dàng và nhiều hỗ trợ, người dùng có thể tạo các loại website nhanh chóng từ các cửa hàng trực tuyến, cổng thông tin, diễn đàn thảo luận…
Theo dữ liệu từ W3Techs, WordPress chiếm 45,8% tổng số website đang có mặt trên internet vào năm 2023, con số này tăng từ 43,2% vào năm 2022. Điều đó có nghĩa là cứ 5 website thì có hơn 2 trang sử dụng nền tảng WordPress.
Khuyến nghị các webmaster nên sớm nâng cấp lên WordPress 6.4.2 để vá lỗ hổng bảo mật nghiêm trọng này!
