Hơn 300.000 trang web cài plugin WordPress phổ biến chứa lỗ hổng bảo mật

Một lỗ hổng nghiêm trọng cho phép hacker tiêm mã độc vào các thành phần nhập liệu của trang web và dần dần đánh cắp toàn bộ cơ sở dữ liệu vừa được phát hiện tồn tại trong một plugin phổ biến trên WordPress.

Lỗ hổng có tên SQL Injection là một dạng lỗi bảo mật trong ứng dụng web sẽ giúp tin tặc có khả năng phát tán mã độc theo cấu trúc Structured Query Language (SQL) vào các thành phần nhập liệu nhằm xác định cấu trúc và thông tin chủ chốt của cơ sở dữ liệu, dần dần dẫn tới đánh cắp toàn bộ cơ sở dữ liệu.

Lỗ hổng này vừa được tìm thấy trong plugin WP Statistics được cài đặt trên hơn 300.000 trang web, đẩy những trang web này đối mặt khả năng bị khai thác bởi tin tặc nhằm đánh cắp cơ sở dữ liệu và nguy cơ chiếm quyền điều khiển toàn bộ website từ xa.

WP Statistics là một plugin được sử dụng rất phổ biến cho phép quản trị viên có được thông tin chi tiết về số lượng người dùng hiện đang trực tuyến trên trang của mình, số lượng khách truy cập và thống kê khác. WP Statistics chứa lỗ hổng SQL Injection cho phép tin tặc từ xa thông qua một tài khoản thuê bao có thể đánh cắp thông tin nhạy cảm và truy cập trái phép vào website.

Lỗ hổng nằm trong nhiều hàm xử lý khác nhau chứa wp_statistics_searchengine_query(). Hàm này không kiểm tra quyền hạn người dùng, cho phép một tài khoản ở quyền thấp có thể thực thi mã độc và đưa mã độc vào phần thuộc tính. Chi tiết về lỗ hổng hiện tại chưa được công khai. Đội ngũ bảo mật của WP Statistics đã tiến hành vá lỗ hổng trong phiên bản mới nhất 12.0.8.

Các chuyên gia bảo mật khuyến cáo các quản trị viên website có cài đặt WP Statistics và cho phép người dùng đăng kí nhận tin tức hãy cập nhật phiên bản mới nhất của plugin này để đảm bảo an toàn.

Xuân Dung