-
09/04/2020
-
99
-
813 bài viết
Lỗ hổng trong plugin TI WooCommerce Wishlist đe dọa hơn 100.000 website WordPress
Lỗ hổng nghiêm trọng CVE-2025-47577 (CVSS: 10) - CRITICAL, đã được phát hiện trong plugin TI WooCommerce Wishlist (phiên bản 2.9.2 trở về trước), đang được sử dụng bởi hơn 100.000 website thương mại điện tử. Cho phép kẻ tấn công chưa xác thực tải lên và thực thi các tệp độc hại, dẫn đến nguy cơ chiếm quyền điều khiển hoàn toàn các trang web WordPress sử dụng plugin này.
Đây là lỗ hổng tải tệp tùy ý không xác thực (Unauthenticated Arbitrary File Upload), yêu cầu plugin WC Fields Factory được cài đặt và kích hoạt cùng với TI WooCommerce Wishlist; hàm tinvwl_upload_file_wc_fields_factory trong plugin đã bỏ qua kiểm tra loại tệp bằng cách đặt tham số test_type thành false, cho phép kẻ tấn công tải lên các tệp thực thi như PHP mà không bị hạn chế, dẫn đến nguy cơ thực thi mã từ xa (RCE) và chiếm quyền kiểm soát hoàn toàn, ảnh hưởng đến hơn 100.000 trang web WordPress.
Phân tích kỹ thuật lỗ hổng:
Điều kiện khai thác:
Lỗ hổng chỉ bị khai thác nếu plugin WC Fields Factory cũng được cài đặt và kích hoạt cùng với TI WooCommerce Wishlist. Khi đó, các hook tinvwl_meta_wc_fields_factory hoặc tinvwl_cart_meta_wc_fields_factory có thể được lợi dụng để gọi hàm chứa lỗ hổng.
Dù điều này giới hạn phần nào phạm vi bị ảnh hưởng, nhưng với mức độ phổ biến cao của cả hai plugin, vẫn có hàng nghìn website đang trong tình trạng rủi ro cao.
Lỗ hổng này chưa có bản vá
Tính đến thời điểm này, phiên bản mới nhất 2.9.2 của TI WooCommerce Wishlist vẫn chưa được vá lỗ hổng. Điều này làm tăng nguy cơ các trang web bị khai thác trong thời gian ngắn tới.
Khuyến nghị khẩn cấp từ chuyên gia bảo mật:
CVE-2025-47577 là một lỗ hổng cực kỳ nguy hiểm, đe dọa trực tiếp đến tính toàn vẹn và bảo mật của hàng nghìn website WordPress. Trong khi chưa có bản vá chính thức, người quản trị website cần hành động ngay lập tức để ngăn chặn nguy cơ bị tấn công.
Các nhà phát triển plugin cần tránh vô hiệu hóa kiểm tra định dạng tệp bằng cách đặt 'test_type' là false hoặc emty và phải luôn xác thực và lọc dữ liệu đầu vào một cách nghiêm ngặt.
Đây là lỗ hổng tải tệp tùy ý không xác thực (Unauthenticated Arbitrary File Upload), yêu cầu plugin WC Fields Factory được cài đặt và kích hoạt cùng với TI WooCommerce Wishlist; hàm tinvwl_upload_file_wc_fields_factory trong plugin đã bỏ qua kiểm tra loại tệp bằng cách đặt tham số test_type thành false, cho phép kẻ tấn công tải lên các tệp thực thi như PHP mà không bị hạn chế, dẫn đến nguy cơ thực thi mã từ xa (RCE) và chiếm quyền kiểm soát hoàn toàn, ảnh hưởng đến hơn 100.000 trang web WordPress.
Phân tích kỹ thuật lỗ hổng:- Lỗ hổng nằm trong hàm tinvwl_upload_file_wc_fields_factory của plugin, được định nghĩa trong file integrations/wc-fields-factory.php. Dù sử dụng phương thức wp_handle_upload() tiêu chuẩn của WordPress, nhưng hàm này đã vô hiệu hóa kiểm tra định dạng tệp bằng cách đặt tham số 'test_type' thành false.
- Điều này đồng nghĩa với việc mọi loại tệp – bao gồm cả script PHP – đều có thể được tải lên mà không bị ngăn chặn, phá vỡ hoàn toàn cơ chế bảo mật mặc định của WordPress.
- Nếu bị khai thác, kẻ tấn công có thể tải lên tệp độc hại và thực thi nó ngay lập tức, từ đó chiếm quyền kiểm soát website từ xa mà không cần đăng nhập.
Điều kiện khai thác:Lỗ hổng chỉ bị khai thác nếu plugin WC Fields Factory cũng được cài đặt và kích hoạt cùng với TI WooCommerce Wishlist. Khi đó, các hook tinvwl_meta_wc_fields_factory hoặc tinvwl_cart_meta_wc_fields_factory có thể được lợi dụng để gọi hàm chứa lỗ hổng.
Dù điều này giới hạn phần nào phạm vi bị ảnh hưởng, nhưng với mức độ phổ biến cao của cả hai plugin, vẫn có hàng nghìn website đang trong tình trạng rủi ro cao.
Lỗ hổng này chưa có bản váTính đến thời điểm này, phiên bản mới nhất 2.9.2 của TI WooCommerce Wishlist vẫn chưa được vá lỗ hổng. Điều này làm tăng nguy cơ các trang web bị khai thác trong thời gian ngắn tới.
Khuyến nghị khẩn cấp từ chuyên gia bảo mật:CVE-2025-47577 là một lỗ hổng cực kỳ nguy hiểm, đe dọa trực tiếp đến tính toàn vẹn và bảo mật của hàng nghìn website WordPress. Trong khi chưa có bản vá chính thức, người quản trị website cần hành động ngay lập tức để ngăn chặn nguy cơ bị tấn công.
- Gỡ bỏ ngay lập tức plugin TI WooCommerce Wishlist khỏi hệ thống WordPress của bạn.
- Kiểm tra và xóa bất kỳ tệp đáng ngờ nào đã được tải lên thông qua plugin. Tạm thời chuyển sang các plugin thay thế có chức năng wishlist và được cập nhật, bảo trì thường xuyên.
- Nếu đang sử dụng WC Fields Factory, hãy tiến hành kiểm tra thư mục tải lên để phát hiện tệp đáng ngờ, đồng thời tăng cường bảo mật máy chủ.
- Cấu hình hệ thống để chặn thực thi tệp từ thư mục upload hoặc giới hạn loại tệp có thể được tải lên.
- Theo dõi và update bản vá mới nhất (nếu có)
Các nhà phát triển plugin cần tránh vô hiệu hóa kiểm tra định dạng tệp bằng cách đặt 'test_type' là false hoặc emty và phải luôn xác thực và lọc dữ liệu đầu vào một cách nghiêm ngặt.
Theo Cyber Press