Theálỗhổngbảomậtnghiêmtrọgiờ thi đấu bóng đá hôm nayo The Hacker News, WordPress đã phát hành phiên bản 6.4.2, trong đó đã vá một lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc khai thác bằng cách kết hợp với một lỗi khác để thực thi mã PHP tùy ý trên các website vẫn đang tồn tại lỗi này.

Hãng cho biết lỗ hổng thực thi mã từ xa không thể khai thác trực tiếp trong lõi, tuy nhiên nhóm bảo mật cảm thấy có khả năng gây ra mức độ nghiêm trọng cao khi kết hợp với một số plugin, đặc biệt là trong các bản cài đặt trên nhiều trang.

Theo công ty bảo mật Wordfence, vấn đề bắt nguồn từ một lớp giới thiệu từ phiên bản 6.4 để cải thiện khả năng phân tích cú pháp HTML trong màn hình soạn thảo dạng khối. Thông qua đó, tin tặc có khả năng khai thác lỗ hổng để chèn đối tượng PHP có trong plugin hoặc themes để kết hợp nhằm thực thi mã tùy ý và giành quyền kiểm soát webiste mục tiêu. Hậu quả là kẻ tấn công có thể xóa các tập tin tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.

Là nền tảng quản trị nội dung nổi tiếng, WordPress cũng được tin tặc chú ý khai thác (CHỤP MÀN HÌNH)

Trong một lời khuyên tương tự, Patchstack cho biết một chuỗi khai thác đã được tìm thấy trên GitHub kể từ ngày 17/11 và được thêm vào dự án Chuỗi tiện ích chung PHP (PHPGGC). Người dùng nên kiểm tra website của mình theo cách thủ công để đảm bảo đã cập nhật lên phiên bản mới nhất.