Hai lỗ hổng bảo mật nghiêm trọng trong plugin SEO WordPress “All In One SEO” rất phổ biến đã khiến hơn 3 triệu trang web có thể bị tấn công chiếm quyền.

Các lỗi bảo mật được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật Marc Montpas là một lỗi nâng cấp đặc quyền xác thực nghiêm trọng (CVE-2021-25036) và một lỗi SQL Injection xác thực có mức độ nghiêm trọng cao (CVE-2021-25037).

Nhà phát triển của plugin đã phát hành bản cập nhật bảo mật để giải quyết cả hai lỗi trên vào ngày 7 tháng 12 năm 2021. Tuy nhiên, hơn 820.000 trang web sử dụng plugin vẫn chưa cập nhật cài đặt của họ, theo thống kê tải xuống trong hai tuần qua kể từ khi bản vá được phát hành và vẫn bị tấn công.

Điều làm cho những lỗ hổng này trở nên nguy hiểm là mặc dù việc khai thác thành công hai lỗ hổng yêu cầu xác thực nhưng chúng chỉ cần các quyền cấp thấp như người đăng ký để lạm dụng chúng trong các cuộc tấn công.

Người đăng ký (Subcriber) là một vai trò người dùng WordPress mặc định thường được bật để cho phép người dùng đã đăng ký nhận xét về các bài báo được xuất bản trên các trang web WordPress.

Mặc dù người đăng ký thường chỉ có thể chỉnh sửa hồ sơ của riêng họ bên cạnh việc đăng nhận xét, trong trường hợp này, họ có thể khai thác CVE-2021-25036 để nâng cao đặc quyền của mình và thực thi mã từ xa trên các trang web dễ bị tấn công và có khả năng hoàn toàn tiếp quản chúng.

Theo Montpas tiết lộ, tăng đặc quyền bằng cách lạm dụng lỗi CVE-2021-25036 là một thao tác rất dễ dàng trên các trang web chạy phiên bản All In One SEO chưa được vá bằng cách “thay đổi một ký tự thành chữ hoa” để bỏ qua tất cả các kiểm tra đặc quyền đã triển khai.

Quản trị viên WordPress vẫn đang sử dụng các phiên bản All In One SEO bị ảnh hưởng bởi các lỗ hổng nghiêm trọng này (từ 4.0.0 đến 4.1.5.2), những người chưa cài đặt bản vá 4.1.5.3 được khuyên nên thực hiện ngay lập tức.