Lỗ hổng trong một plugin WordPress cho phép hacker xoá cơ sở dữ liệu website
Đặng Hoài Đức - 2021-10-28 08:48:24 (GMT+7)
Lỗ hổng, được tìm thấy trong plugin Hashthemes Demo Importer, cho phép các hacker thiết lập lại các trang web WordPress và xóa gần như tất cả nội dung cơ sở dữ liệu và phương tiện của người dùng.
Plugin Hashthemes Demo Importer đã có hơn 8.000 lượt cài đặt từ người dùng đang hoạt động.
Plugin Hasthemes Demo Importer được thiết kế để quản trị viên dễ dàng nhập các chủ đề giao diện WordPress chỉ với một nhấp chuột mà không cần phải xử lý các tệp phụ thuộc như tệp XML, tùy chọn chủ đề .json, tệp tùy biến .dat hoặc tệp tiện ích con .wie.
Plugin có thể xoá gần như mọi cơ sở dữ liệu
Kỹ sư và nhà nghiên mối đe doạ Gall của Wordfence giải thích thêm plugin Hasthemes đã không được kiểm tra kỹ lưỡng các hoạt động Ajax của nó. Ajax là một công nghệ dựa trên JavaScript cho phép một trang web tìm nạp thông tin mới và tự hiển thị mà không cần làm mới trang.
Wordfence còn tiết lộ thêm “Mặc dù plugin đã được kiểm tra nonce, nhưng AJAX nonce vẫn hiển thị bảng điều khiển quản trị cho tất cả người dùng, bao gồm cả hacker. Hậu quả nghiêm trọng nhất là hacker có thể đặt lại tất cả nội dung trên một trang web nhất định".
Cụ thể, bất cứ ai kể cả các hacker có thể kích hoạt hàm hdi_install_demo Ajax và cung cấp thông số đặt lại thành true, dẫn đến việc plugin chạy hàm database_reset của chính nó. Vì vậy, với chức năng này có thể xoá sạch mọi cơ sở dữ liệu trừ wp_options, wp_users và wp_usermeta.
Plugin đang được mở rộng mọi bề mặt tấn công
Rick Holland, CISO và phó chủ tịch Digital Shadows, lưu ý rằng lỗ hổng từ plugin hay các tiện ích từ trình duyệt web ngày càng được mở rộng mọi bề mặt tấn công cho các hacker dễ dàng xâm nhập các trang web người dùng.
Trên hết, điều đó còn tùy thuộc vào các nhà cung cấp phần mềm giải quyết vấn đề lỗ hổng như thế nào. “Các công ty phần mềm thường phải chịu trách nhiệm về mã nguồn của họ trước khi đưa đến người dùng cuối,” Rick Holland cho biết thêm.
