Hôm nay vào web viết bài như thường lệ tự nhiên phát hiện trong thư mục media của web xuất hiện những file *.php tên thì loằng ngoằng thấy khả nghi. Kiểm tra và tìm hiểu thì phát hiện ra lỗi này là do plugin wpDiscuz. PLugin này chuyên dùng cho bình luận web wordpress. Fix ngay và luôn nhé
Bạn nào đang sử dụng wpDiscuz phiên bản từ 7.0.0 – 7.0.4 hãy ngay lập tức cập nhật lên phiên bản mới 7.0.6 ngay vì website của bạn đang có nguy cơ bị tấn công chiếm tài khoản Hosting.
Plugin wpDiscuz đang có khoảng 70,000 website WordPress đang sử dụng phiên bản cũ có nguy cơ bị tấn công Hosting/Server sau khi hacker tận dụng lỗi upload media để tải lên những file thực thi.
wpDiscuz là một plugin rất tốt thay thế cho hệ thống comment mặc định của WordPress với nhiều tính năng ưu việt như xử lý qua Ajax, cập nhật real-time, hỗ trợ nhiều layout và rất nhiều option hữu ích cho người dùng tùy biến. Ngoài ra, bạn còn có thể cài thêm nhiều extension trả phí nữa nếu muốn bổ sung thêm tính năng.
Lỗi bảo mật hiện tại của wpDiscuz rất nguy hiểm, được đánh giá thang điểm 10/10 CVSS, liên quan đến tính năng cho phép người dùng upload file hình ảnh đính kèm theo comment. Do không kiểm tra định dạng file đính kèm cẩn thận nên vô tình wpDiscuz cho phép upload cả những file thực thi PHP.
Nếu như bị khai thác, lỗi này cho phép hacker chạy được những câu lệnh trên server và chèn mã độc vào tất cả những website đang dùng chung hosting.
Phiên bản wpDiscuz 7.0.5 đã vá lỗi toàn bộ, và bản cập nhật đêm qua 7.0.6 vá thêm một số lỗi nhỏ khác nữa.
Tham khảo Canhme
