-
09/04/2020
-
97
-
794 bài viết
Lỗ hổng trong plugin WordPress Eventin đe dọa hơn 10.000 website bị chiếm quyền
Một lỗ hổng nghiêm trọng đã được phát hiện trong plugin quản lý sự kiện rất phổ biến của WordPress - Eventin, khiến hơn 10.000 trang web có nguy cơ bị chiếm quyền kiểm soát hoàn toàn và số lượng trang web bị tấn công này có thể lớn hơn rất nhiều. Vì WordPress chiếm khoảng 43-45% website toàn cầu và đang được sử dụng rất rộng rãi ngay cả ở Việt Nam.
Mã theo dõi của lỗ hổng là CVE-2025-47539, CVSS: 9,8. Điều đáng lo ngại nhất là lỗ hổng này thuộc mức độ nghiêm trọng cao kết hợp với cách khai thác cực kỳ đơn giản: Không cần xác thực và chỉ cần kiến thức kỹ thuật ở mức tối thiểu.
Phân loại lỗ hổng là Broken Access Control được xếp là lỗ hổng nguy hiểm nhất trong top 10 của OWASP. Lỗ hổng bảo mật này tập trung vào lỗi giám sát nghiêm trọng ở điểm cuối REST API endpoint:
Endpoint này có chức năng nhập dữ liệu diễn giả vào plugin. Mặc dù có gán hàm kiểm tra quyền truy cập là "import_item_permissions_check()", hàm này lại không thực hiện bất kỳ kiểm tra quyền hạn thực sự nào.
Thay vì xác minh danh tính hoặc đặc quyền của người dùng truy cập, nó chỉ đơn giản trả về "true", cho phép bất kỳ ai, kể cả người không đăng nhập, thực hiện hành động nhập dữ liệu.
Hậu quả xảy ra:
Vị trí lỗi:
Sự cố này đóng vai trò như lời nhắc nhở sâu sắc tới tất cả các nhà phát triển plugin WordPress về tầm quan trọng của việc tuân thủ và luôn luôn cần triển khai các biện pháp bảo mật tốt nhất.
Mã theo dõi của lỗ hổng là CVE-2025-47539, CVSS: 9,8. Điều đáng lo ngại nhất là lỗ hổng này thuộc mức độ nghiêm trọng cao kết hợp với cách khai thác cực kỳ đơn giản: Không cần xác thực và chỉ cần kiến thức kỹ thuật ở mức tối thiểu.
Phân loại lỗ hổng là Broken Access Control được xếp là lỗ hổng nguy hiểm nhất trong top 10 của OWASP. Lỗ hổng bảo mật này tập trung vào lỗi giám sát nghiêm trọng ở điểm cuối REST API endpoint:
Endpoint này có chức năng nhập dữ liệu diễn giả vào plugin. Mặc dù có gán hàm kiểm tra quyền truy cập là "import_item_permissions_check()", hàm này lại không thực hiện bất kỳ kiểm tra quyền hạn thực sự nào.
Thay vì xác minh danh tính hoặc đặc quyền của người dùng truy cập, nó chỉ đơn giản trả về "true", cho phép bất kỳ ai, kể cả người không đăng nhập, thực hiện hành động nhập dữ liệu.
Hậu quả xảy ra:
- Leo thang đặc quyền không cần xác thực
- Kẻ tấn công có thể gửi một yêu cầu POST đến endpoint dễ bị khai thác này kèm theo một tệp CSV đã được tạo thủ công, trong đó định nghĩa một người dùng mới với vai trò là administrator (quản trị viên).
- Plugin bị ảnh hưởng: Eventin của Themewinter
- Phiên bản bị ảnh hưởng: ≤ 4.0.26
- Phiên bản đã vá: 4.0.27
Vị trí lỗi:
- import_items
- create_speaker
- Người dùng plugin Eventin được khuyến cáo cập nhật lên phiên bản 4.0.27 hoặc mới hơn càng sớm càng tốt.
- Thiết lập danh sách vai trò người dùng được phép (whitelist), giúp ngăn chặn hoàn toàn khả năng gán vai trò trái phép thông qua quá trình nhập dữ liệu.
- Người dùng plugin Eventin được khuyến cáo nên cập nhật lên phiên bản 4.0.27 hoặc mới hơn càng sớm càng tốt.
Bản vá
Sự cố này đóng vai trò như lời nhắc nhở sâu sắc tới tất cả các nhà phát triển plugin WordPress về tầm quan trọng của việc tuân thủ và luôn luôn cần triển khai các biện pháp bảo mật tốt nhất.
Theo Cyber Press
Chỉnh sửa lần cuối: