Phát hiện lỗ hổng Local File Inclusion trong theme Porto của WordPress qua chức năng ‘porto_ajax_posts’, điểm CVSS đạt 9.8.
Theme Porto cho WordPress, một trong những theme được ưa chuộng cho việc xây dựng website, mới đây đã được phát hiện chứa lỗ hổng bảo mật Local File Inclusion (LFI) trong tất cả các phiên bản đến 7.1.0. Lỗ hổng này được tìm thấy trong chức năng ‘porto_ajax_posts’, cho phép kẻ tấn công không cần xác thực có thể bao gồm và thực thi các tệp tùy ý trên máy chủ.
Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép thực thi bất kỳ mã PHP nào có trong các tệp đó, mở ra khả năng bỏ qua các biện pháp kiểm soát truy cập, lấy cắp dữ liệu nhạy cảm, hoặc thực thi mã độc. Điều này có thể dẫn đến việc chiếm quyền kiểm soát toàn bộ máy chủ web nếu như loại tệp PHP có thể được tải lên và bao gồm.
Điểm số CVSS của lỗ hổng này là 9.8, phản ánh mức độ nghiêm trọng cực cao của nó. Lỗ hổng này đã được công bố công khai vào ngày 8 tháng 5 năm 2024 và được cập nhật lần cuối vào ngày 9 tháng 5. Nhà nghiên cứu István Márton từ Wordfence là người đã phát hiện ra lỗ hổng này.
Các quản trị viên sử dụng theme Porto được khuyến cáo cập nhật lên phiên bản mới nhất ngay khi có bản vá lỗi được phát hành để tránh nguy cơ bị tấn công. Ngoài ra, việc thường xuyên kiểm tra và cập nhật các biện pháp bảo mật khác trên website cũng là điều cần thiết để đảm bảo an toàn thông tin và hoạt động của hệ thống.
