-
09/04/2020
-
94
-
676 bài viết
Lỗ hổng nghiêm trọng trong plugin của WordPress ảnh hưởng hàng triệu website
Một lỗ hổng nghiêm trọng đã được phát hiện trong s2Member Pro - plugin phổ biến trong WordPress với điểm CVSS 9,8. Lỗ hổng này có thể cho phép kẻ tấn công chưa xác thực chèn các đối tượng PHP độc hại vào các trang web dễ bị tấn công, ảnh hưởng đến hàng triệu website.
s2Member Pro là một plugin được sử dụng để quản lý thành viên, bán gói đăng ký và kiểm soát quyền truy cập nội dung trên WordPress. Với hơn 1.6 triệu lượt tải, mức độ phổ biến của plugin này khiến lỗ hổng trở thành mối lo ngại lớn.
Lỗ hổng CVE-2024-12562 xuất phát từ việc plugin không kiểm tra và làm sạch dữ liệu đầu vào một cách thích hợp, đặc biệt là tham số s2member_pro_remote_op. Điều này tạo điều kiện cho cuộc tấn công PHP Object Injection, khiến tin tặc có thể:
Ngay sau đó, nhóm phát triển plugin s2Member đã phát hành bản vá trong phiên bản 250214 và khuyến cáo người dùng cập nhật ngay lập tức để giảm thiểu rủi ro.
Lỗ hổng CVE-2024-12562 xuất phát từ việc plugin không kiểm tra và làm sạch dữ liệu đầu vào một cách thích hợp, đặc biệt là tham số s2member_pro_remote_op. Điều này tạo điều kiện cho cuộc tấn công PHP Object Injection, khiến tin tặc có thể:
- Xóa tệp tùy ý trên hệ thống.
- Đánh cắp dữ liệu nhạy cảm.
- Thực thi mã từ xa, nếu kết hợp với các lỗ hổng khác trong theme hoặc plugin cài đặt trên website.
Ngay sau đó, nhóm phát triển plugin s2Member đã phát hành bản vá trong phiên bản 250214 và khuyến cáo người dùng cập nhật ngay lập tức để giảm thiểu rủi ro.
- Cập nhật plugin s2Member Pro lên phiên bản mới nhất càng sớm càng tốt.
- Thường xuyên cập nhật tất cả theme và plugin để tránh bị khai thác qua lỗ hổng khác.
- Sao lưu dữ liệu website định kỳ, đảm bảo có thể khôi phục nếu bị tấn công.
Theo Security Online