WordPress tung bản vá khẩn, hàng triệu website được cảnh báo cập nhật ngay

[WhiteHat Team]

WordPress vừa chính thức phát hành phiên bản 6.9.2 nhằm khắc phục triệt để 10 lỗ hổng bảo mật nghiêm trọng có nguy cơ gây ảnh hưởng trực tiếp đến sự an toàn của hệ sinh thái website toàn cầu. Bản cập nhật này tập trung xử lý các lỗi quản trị trọng yếu từ thực thi mã chéo đến giả mạo yêu cầu máy chủ, đòi hỏi các quản trị viên hệ thống phải tiến hành nâng cấp khẩn cấp để ngăn chặn mọi rủi ro khai thác trái phép.
​

Các lỗ hổng được phát hiện bởi cả thành viên trong nhóm bảo mật WordPress và các nhà nghiên cứu độc lập, trải rộng từ lỗi truy cập tệp trái phép đến những điểm yếu có thể bị lợi dụng để thực hiện các cuộc tấn công vào phía máy chủ. Đáng chú ý, một lỗ hổng path traversal trong thư viện nén PclZip đã được khắc phục, cùng với lỗi XML External Entity XXE tồn tại trong thư viện getID3. Nếu bị khai thác, các điểm yếu này có thể cho phép kẻ tấn công truy cập trái phép vào tệp trên máy chủ hoặc trích xuất dữ liệu nhạy cảm.

Bản cập nhật cũng sửa hai lỗ hổng vượt qua cơ chế phân quyền. Một lỗi ảnh hưởng đến chức năng truy vấn tệp đính kèm qua AJAX, trong khi lỗi còn lại liên quan đến tính năng ghi chú Notes. Những lỗ hổng này có thể cho phép người dùng không đủ quyền thực hiện các thao tác đáng lẽ bị hạn chế, từ đó tạo điều kiện cho việc leo thang quyền truy cập trong hệ thống quản trị.

Ngoài ra, nhóm phát triển đã xử lý nhiều biến thể Cross Site Scripting XSS. Trong đó có một lỗi XSS lưu trữ stored XSS trong menu điều hướng, một lỗ hổng liên quan tới chỉ thị data wp bind, và một lỗi cho phép ghi đè mẫu giao diện phía trình duyệt trong khu vực quản trị. Các lỗ hổng XSS có thể bị lợi dụng để chèn mã độc vào trang web, từ đó đánh cắp phiên đăng nhập hoặc chiếm quyền tài khoản quản trị.

Một số rủi ro ở cấp độ máy chủ cũng được khắc phục trong lần phát hành này. WordPress đã vá một lỗ hổng Regex Denial of Service liên quan đến cách xử lý ttham chiếu ký tự số trong HTML, đồng thời xử lý một lỗi Blind Server Side Request Forgery SSRF có thể buộc máy chủ gửi yêu cầu đến các hệ thống nội bộ hoặc dịch vụ bên ngoài.

Bên cạnh đó, nhóm phát triển cũng gia cố một chuỗi khai thác kiểu lập trình hướng thuộc tính Property Oriented Programming tồn tại trong HTML API và Block Registry. Đây là dạng lỗ hổng có thể trở thành mắt xích trong các chuỗi tấn công phức tạp nếu bị kết hợp với những lỗi khác.

Theo chính sách của WordPress, chỉ phiên bản mới nhất được hỗ trợ đầy đủ. Tuy nhiên trong trường hợp này, các bản vá đã được backport cho nhiều nhánh cũ, thậm chí từ WordPress 4.7 trở lên, nhằm giúp các website chưa nâng cấp lên dòng 6.x vẫn nhận được bản vá cần thiết.

Việc xử lý tới 10 lỗ hổng trong một lần phát hành khiến WordPress 6.9.2 được xem là bản cập nhật quan trọng. Phần lớn các website WordPress hiện nay sẽ tự động cập nhật, nhưng với các hệ thống có lưu lượng truy cập lớn hoặc sử dụng nhiều plugin và giao diện tùy biến, quản trị viên nên chủ động kiểm tra để bảo đảm hệ thống đang chạy phiên bản đã được vá lỗi.
​

Theo Security Online​