Khám phá lỗ hổng bảo mật PHP Object Injection trong plugin Hotel Booking Lite của WordPress, được công bố công khai và có chỉ số CVSS 9.8.
Plugin Hotel Booking Lite cho WordPress, được sử dụng để quản lý đặt phòng khách sạn, đã được phát hiện chứa một lỗ hổng bảo mật nghiêm trọng có thể ảnh hưởng đến tất cả các phiên bản đến 4.11.1. Lỗ hổng này cho phép kẻ tấn công không xác thực tiêm đối tượng PHP vào hệ thống qua quá trình deserialization của dữ liệu đầu vào không đáng tin cậy.
Khi lỗ hổng này được khai thác, nếu có một chuỗi POP (property-oriented programming) tồn tại trên hệ thống thông qua một plugin hoặc theme khác được cài đặt, kẻ tấn công có thể lợi dụng để xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm, hoặc thực thi mã độc.
Lỗ hổng này đã được Trinh Vu từ VNPT Cyber Immunity Center phát hiện và nghiên cứu, và được đánh giá là cực kỳ nghiêm trọng với điểm số CVSS là 9.8. Thông tin về lỗ hổng được công bố công khai vào ngày 10 tháng 5 năm 2024.
Để bảo vệ website WordPress của mình khỏi lỗ hổng này, các quản trị viên website nên kiểm tra và cập nhật plugin Hotel Booking Lite lên phiên bản mới nhất ngay khi có bản vá được phát hành. Ngoài ra, các biện pháp bảo mật khác như cài đặt và cập nhật phần mềm chống malware, cũng như thực hiện các bản sao lưu thường xuyên, là cần thiết để giảm thiểu rủi ro từ các cuộc tấn công có thể xảy ra.
