Ngày 6 tháng 1 năm 2022, WordPress đã phát hành phiên bản WordPress 5.8.3 để fix một số lỗi bảo mật nghiêm trọng.
Trong bản update này sẽ fix 4 lỗ hổng có mức độ nghiêm trọng, có hỗ trợ cho mọi phiên bản của WordPress từ version 3.7.
Các bạn có thể yên tâm là từ WordPress 3.7 trở đi các cập nhập liên quan đến bảo mật sẽ được tự động update để giảm thiểu nguy cơ bị các hacker khai thác.
Vì vậy hầu hết các trang WordPress sẽ không gặp nguy hiểm trong trường hợp này, trừ một số đã tắt tính năng auto update core.
Chính vì thế nếu bạn đang tắt tính năng này thì có thể bật lên bằng cách xóa đoạn:
define( 'WP_AUTO_UPDATE_CORE', false )
trong file wp-config.php nhé.
Thông tin về các lỗ hổng bảo mật
Theo thông tin mình tham khảo được từ wordfence thì chi tiết các lỗ hổng bảo mật được đội ngũ chuyên gia của họ phân tích như sau:
Description: SQL Injection via WP_Query
Affected Versions: WordPress Core < 5.8.3
CVE ID: 2022-21661
CVSS Score: 8.0 (High)
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Fully Patched Version: 5.8.3
Researcher/s: ngocnb and khuyenn from GiaoHangTietKiem JSC
Lỗ hổng này không thể khai thác trực tiếp thông qua lõi WordPress, nhưng một số plugin và theme có thể dụng WP_Query theo cách cho phép SQL injection.
Description: Author+ Stored XSS via Post Slugs
Affected Versions: WordPress Core < 5.8.3
CVE ID: 2022-21662
CVSS Score: 8.0 (High)
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Fully Patched Version: 5.8.3
Researcher/s: Karim El Ouerghemmi and Simon Scannell of SonarSource
Như với hầu hết các lỗ hổng XSS, sẽ giúp các hacker chiếm quyền kiểm soát toàn bộ website của bạn hoặc thêm backdoor. Nhưng nó chỉ có thể khai thác được với các user có quyền publish post.
Lỗ hổng này cho phép các user như Authors and WooCommerce Shop Owner add các script vào site.
Description: Blind SQL Injection via WP_Meta_Query
Affected Versions: WordPress Core 4.1 – 5.8.2
CVE ID: 2022-21664
CVSS Score: 7.4 (High)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Fully Patched Version: 5.8.3
Researcher/s: Ben Bidner from the WordPress security team
Tiếp tục một lỗi hổng bảo mật liên quan đến SQL Injection qua WP_Query.
Description: Super Admin Object Injection in Multisites
Affected Versions: WordPress Core < 5.8.3
CVE ID: 2022-21663
CVSS Score: 6.6 (Medium)
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Fully Patched Version: 5.8.3
Researcher/s: Simon Scannell of SonarSource
Lỗ hổng này hơi khó xảy ra vì nó yêu cầu quyền đặc biệt của Super Admin để khai thác và chỉ ảnh hưởng trên Multisite WordPress.
Vì tính chất đặc biệt nên lỗ hổng này được đánh giá là không quá nguy hiểm, nên bạn có thể yên tâm nhé.
Tổng Kết
WordPress vẫn là CMS được sử dụng nhiều nhất hiện nay, và cũng rất dễ bị các hacker khai thác các lỗ hổng bảo mật.
Chính vì vậy để đảm bảo an toàn cho mình các bạn hãy dùng các biện pháp để tăng cường bảo mật cho website.
Và nhớ backup đầy đủ nhé.