Lỗ hổng PHP Object Injection trong theme Flatsome cho WordPress, điểm CVSS 9.8, cho phép hacker thực hiện các hành vi nguy hiểm không cần xác thực.
Theme Flatsome dành cho WordPress hiện đang gặp phải một lỗ hổng bảo mật nghiêm trọng, đánh giá với điểm CVSS lên đến 9.8. Lỗ hổng này cho phép hacker thực hiện PHP Object Injection mà không cần xác thực.
Cơ chế tấn công
Hacker có thể gửi đầu vào qua HTTP POST chứa đối tượng PHP đã mã hóa. Khi server giải mã, nếu không kiểm tra kỹ, đối tượng này có thể kích hoạt các hành vi nguy hiểm như xóa file, truy cập dữ liệu nhạy cảm, hay thực thi mã độc.
Mức độ nguy hiểm
Lỗ hổng này ảnh hưởng đến tính bảo mật, toàn vẹn và khả dụng của website, được đánh giá là cực kỳ nguy hiểm.
Giải pháp
Người dùng theme Flatsome cần cập nhật lên phiên bản mới nhất để tránh lỗ hổng này. Thêm vào đó, việc kiểm soát chặt chẽ các input từ người dùng và áp dụng các biện pháp bảo mật web cũng rất quan trọng để đảm bảo an toàn.
Lời khuyên
Cập nhật theme và giám sát các hoạt động lạ trên website là cần thiết để bảo vệ hệ thống trước những rủi ro bảo mật từ các lỗ hổng như thế này.
Researcher Rafie Muhammad – Patchstack
