WordPress 6.4.2 vá lỗ hổng bảo mật nghiêm trọng có thể dẫn đến thực thi mã từ xa

WordPress đã phát hành phiên bản 6.4.2 vá lỗ hổng bảo mật nghiêm trọng, tin tặc có thể kết hợp nó với một lỗ hổng khác để thi mã PHP tùy ý trên trang web mục tiêu.

Lỗ hổng thực thi mã từ xa không thể khai thác trực tiếp trong lõi. Tuy nhiên các nhà bảo mật đã phát hiện ra rằng nếu kết hợp với một số plugin, đặc biệt là trong các bản cài đặt trên nhiều trang lỗ hổng này có khả năng gây ra mức độ nghiêm trọng cao.

Theo công ty bảo mật Wordfence, nguyên nhân gây ra lỗ hổng này bắt nguồn từ một lớp giới thiệu để cải thiện khả năng phân tích cú pháp HTML trong màn hình soạn thảo dạng khối từ phiên bản 6.4. Tin tặc có thể khai thác lỗ hổng để chèn đối tượng PHP có trong plugin hoặc themes để kết hợp nhằm thực thi mã tùy ý và giành quyền kiểm soát website mục tiêu. Nếu thành công, kẻ xấu có thể xóa các tập tin tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.

Các chuyên gia bảo mật khuyến cáo các quản trị viên website dùng nền tảng WordPress cần nhanh chóng cập nhật lên phiên bản 6.4.2 nhằm tránh trở thành nạn nhân của những cuộc tấn công.

WordPress là một hệ thống quản trị nội dung miễn phí, cài đặt dễ dàng, nhiều hỗ trợ và phổ biến trên toàn cầu. Theo dữ liệu từ W3Techs, vào năm 2023 WordPress chiếm 45,8% tổng số website đang có mặt trên internet, cứ 5 website thì có hơn 2 trang sử dụng nền tảng WordPress.