Lỗ hổng CVE-2025-0912 là một lỗ hổng nghiêm trọng trong plugin GiveWP của WordPress, ảnh hưởng đến hơn 100,000 trang web sử dụng plugin này. Lỗ hổng này được xác định là một PHP Object Injection và có thể dẫn đến Remote Code Execution (RCE).
Chi tiết về lỗ hổng
- Nguyên nhân: Lỗ hổng này xuất phát từ việc plugin GiveWP không kiểm soát đúng cách dữ liệu được gửi vào tham số ‘card_address’ trong form quyên góp. Điều này cho phép các attacker không được xác thực có thể inject các đối tượng PHP không tin cậy vào hệ thống.
- Tác động: Lỗ hổng này có thể cho phép các attacker thực hiện các lệnh mã tùy ý trên máy chủ hosting trang web, dẫn đến việc truy cập không được phép và thiệt hại dữ liệu.
- Phương pháp khắc phục: Để khắc phục lỗ hổng này, các nhà quản trị trang web cần cập nhật plugin GiveWP lên phiên bản 3.20.0 mới nhất. Phiên bản này đã sửa chữa lỗ hổng này và giúp bảo vệ các trang web khỏi các cuộc tấn công.
Liên quan
- CVE-2025-22777: Một lỗ hổng khác trong plugin GiveWP, cũng ảnh hưởng đến hơn 100,000 trang web WordPress.
- CVE-2024-8353: Một lỗ hổng khác trong plugin GiveWP, cũng ảnh hưởng đến hơn 100,000 trang web WordPress.
Lỗ hổng CVE-2025-0912 là một cảnh báo nghiêm trọng cho các nhà quản trị trang web sử dụng plugin GiveWP, và việc cập nhật plugin lên phiên bản mới nhất là rất cần thiết để bảo vệ dữ liệu và tránh các cuộc tấn công mạng.
