Plugin WooCommerce Amazon Affiliates cho WordPress có lỗ hổng SQL Injection nghiêm trọng ảnh hưởng đến phiên bản đến 14.0.10.
Plugin WooCommerce Amazon Affiliates dành cho WordPress, được sử dụng rộng rãi để tích hợp tính năng liên kết sản phẩm từ Amazon, vừa được phát hiện chứa lỗ hổng bảo mật SQL Injection trong các phiên bản đến và bao gồm 14.0.10. Lỗ hổng này xảy ra do việc không thoát đủ ký tự đặc biệt trong các tham số do người dùng cung cấp và thiếu sự chuẩn bị đầy đủ cho câu lệnh SQL hiện hành, cho phép những kẻ tấn công đã xác thực, với quyền truy cập từ cấp độ người đăng ký trở lên, có thể chèn thêm các câu truy vấn SQL vào câu lệnh đã có sẵn.
Lỗ hổng này không chỉ ảnh hưởng đến tính toàn vẹn của dữ liệu mà còn có thể dẫn đến việc lộ lọt thông tin nhạy cảm từ cơ sở dữ liệu của trang web. Điểm số CVSS của lỗ hổng là 9.9, cho thấy mức độ nghiêm trọng cực cao.
Thông tin về lỗ hổng này đã được công bố công khai vào ngày 25 tháng 4 năm 2024 và được cập nhật lần cuối vào ngày 1 tháng 5. Nhà nghiên cứu Rafie Muhammad từ Patchstack là người đã phát hiện ra lỗ hổng này.
Để bảo vệ website của mình, các quản trị viên sử dụng plugin này cần nhanh chóng cập nhật lên phiên bản mới nhất ngay khi có bản vá được phát hành. Việc kiểm tra thường xuyên và áp dụng các biện pháp an ninh mạng cẩn thận là hết sức cần thiết để ngăn chặn các nguy cơ bảo mật tiềm ẩn.
