800 nghìn Website WordPress bị ảnh hưởng bởi lỗ hổng từ plugin All In One SEO
Hai lổ hổng bảo mật nghiêm trọng trong plugin WordPress rất phổ biến có tên gọi All In One SEO phiên bản từ 4.0.0 đến 4.1.5.2. Điều này đã khiến hơn 3 triệu Website WordPress dễ bị tấn công bất cứ lúc nào.
Hai lỗ hổng nghiêm trọng có mã định danh lần lượt là CVE-2021-25036 và CVE-2021-25037. Lỗ hổng thứ nhất là lỗi nâng cấp đặc quyền xác thực và lỗ hổng thứ hai là lỗi SQL Injection.
Hơn 800.000 Website WordPress đang là mục tiêu tấn công
Nhà phát triển plugin All In One SEO đã phát hành bản vá mới nhất với phiên bản 4.1.5.3 cho hai lỗ hổng trên vào ngày 7/12/2021. Mặc dù vậy, vẫn có hơn 800 nghìn Website WordPress vẫn chưa cập nhật bản vá này và rất dễ trở thành mục tiêu.
Điều làm hai lỗ hổng này trở nên nguy hiểm là hacker chỉ cần tạo người dùng trên website với vài trò (roles) mặc định (Subcribers) là có thể khai thác. Hacker sẽ khai thác để nâng cao đặc quyền của mình, thực thi mã từ xa (RCE) và chiếm quyền quản trị website.
Người dùng với vai trò Subcribers là phân quyền thấp nhất trong trang quản trị WordPress, và là quyền mặc định khi đăng ký thành viên. Ngoài ra WordPress còn có các quyền cao hơn như Người đóng góp (Contributor), Tác giả (Author), Người biên tập (Editor) và Quản trị viên tối cao (Administrator).
Khuyến khích cập nhật plugin càng sớm càng tốt
Các hacker khai thác lỗ hổng CVE-2021-25036 rất dễ dàng nếu website WordPress sử dụng plugin All In One SEO có phiên bản 4.0.0 đến 4.1.5.2. Bằng cách "thay đổi một ký tự thành chữ hoa".
Các quản trị viên Website WordPress đang sử dụng plugin All In One SEO từ phiên bản 4.0.0 đến 4.1.5.2 được khuyên nên cập nhật bản vá 4.1.5.3 ngay lập tức.