800 nghìn Website WordPress bị ảnh hưởng bởi lỗ hổng từ plugin All In One SEO

  • Tuesday 28/12/2021

Nhiều Website bị ảnh hưởng bởi lỗ hổng từ plugin All In One SEO

 

WordPress là gì?

WordPress là một hệ thống mã nguồn mở dùng để xuất bản blog/website được viết bằng ngôn ngữ lập trình PHP và cơ sở dữ liệu MySQL. WordPress được biết đến như một CMS miễn phí nhưng tốt, dễ sử dụng và phổ biến nhất trên thế giới.

Với WordPress, bạn có thể tạo trang web thương mại điện tử, cổng thông tin, portfolio online, diễn đàn thảo luận và những web tuyệt vời khác.

Lỗ hổng từ plugin All In One SEO

 

Lịch sử hình thành của WordPress

Theo thông tin từ WordPress.org, WordPress là sự kế thừa chính thức từ một công cụ viết blog được phát triển bởi lập trình viên người Pháp Michel Valdrighi có tên là b2/cafelog, ra mắt lần đầu tiên vào năm 2001.

Đến ngày 27 tháng 5 năm 2003, WordPress mới chính thức được phát hành phiên bản đầu tiên bởi Matt Mullenweg và Mike Little.

Lỗ hổng từ plugin All In One SEO

Đến nay, đã có hơn 75 triệu trang web sử dụng nền tảng WordPress, trong đó có các website nổi tiếng thế giới như: Coca ColaCNNBBC AmericaSony MusicMTV News,…

Lỗ hổng từ plugin All In One SEO

 

Thông tin về lỗ hỏng bảo mật từ Plugin All In One SEO

Lỗ hổng từ plugin All In One SEO

Hai lổ hổng bảo mật nghiêm trọng trong plugin  WordPress rất phổ biến có tên gọi All In One SEO phiên bản từ 4.0.0 đến 4.1.5.2. Điều này đã khiến hơn 3 triệu Website WordPress dễ bị tấn công bất cứ lúc nào.

Lỗ hổng từ plugin All In One SEO

Hai lỗ hổng nghiêm trọng có mã định danh lần lượt là CVE-2021-25036 và CVE-2021-25037. Lỗ hổng thứ nhất là lỗi nâng cấp đặc quyền xác thực và lỗ hổng thứ hai là lỗi SQL Injection.

 

Hơn 800.000 Website WordPress đang là mục tiêu tấn công

Lỗ hổng từ plugin All In One SEO

Nhà phát triển plugin All In One SEO đã phát hành bản vá mới nhất với phiên bản 4.1.5.3 cho hai lỗ hổng trên vào ngày 7/12/2021. Mặc dù vậy, vẫn có hơn 800 nghìn Website WordPress vẫn chưa cập nhật bản vá này và rất dễ trở thành mục tiêu.

Điều làm hai lỗ hổng này trở nên nguy hiểm là hacker chỉ cần tạo người dùng trên website với vài trò (roles) mặc định (Subcribers) là có thể khai thác. Hacker sẽ khai thác để nâng cao đặc quyền của mình, thực thi mã từ xa (RCE) và chiếm quyền quản trị website.

Người dùng với vai trò Subcribers là phân quyền thấp nhất trong trang quản trị WordPress, và là quyền mặc định khi đăng ký thành viên. Ngoài ra WordPress còn có các quyền cao hơn như Người đóng góp (Contributor), Tác giả (Author), Người biên tập (Editor) và Quản trị viên tối cao (Administrator).

 

Khuyến khích cập nhật plugin càng sớm càng tốt

Lỗ hổng từ plugin All In One SEO

Các hacker khai thác lỗ hổng CVE-2021-25036 rất dễ dàng nếu website WordPress sử dụng plugin All In One SEO có phiên bản 4.0.0 đến 4.1.5.2. Bằng cách “thay đổi một ký tự thành chữ hoa”.

Các quản trị viên Website WordPress đang sử dụng plugin All In One SEO từ phiên bản 4.0.0 đến 4.1.5.2 được khuyên nên cập nhật bản vá 4.1.5.3 ngay lập tức.

 

Thông tin kiến thức cơ bản Web30s tại: https://kb.pavietnam.vn/category/web30s
Thông tin kiến thức cơ bản Hosting tại: https://kb.pavietnam.vn/category/hosting
Thông tin kiến thức cơ bản WordPress tại: https://kb.pavietnam.vn/category/phan-mem/open-source/wordpress
Đăng ký dịch vụ do P.A Việt Nam cung cấp tại: https://www.pavietnam.vn/
Tham khảo thông tin & bảng giá dịch vụ Web30s tại: https://web30s.vn/
Tham khảo thông tin & bảng giá dịch vụ Hosting tại: https://www.pavietnam.vn/vn/hosting.html
Tham khảo thông tin & bảng giá dịch vụ WordPress Hosting tại: https://www.pavietnam.vn/vn/wordpress.html
Tham khảo các Ưu đãi hiện có tại: https://www.pavietnam.vn/vn/tin-khuyen-mai/
Facebook: https://www.facebook.com/pavietnam.com.vn