Theo TechRadar, một cảnh báo bảo mật khẩn cấp vừa được đưa ra, nhắm vào cả trăm nghìn chủ sở hữu trang web WordPress, đặc biệt là các cửa hàng thương mại điện tử. Các nhà nghiên cứu từ Patchstack đã phát hiện một lỗ hổng nghiêm trọng, được đánh giá ở mức 10/10 (CVE-2025-47577), trong plugin phổ biến 'TI WooCommerce Wishlist', có nguy cơ cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn trang web.
Hơn 100.000 trang web WordPress dính lỗ hổng nguy hiểm
Plugin TI WooCommerce Wishlist, với hơn 100.000 lượt cài đặt đang hoạt động, là một tiện ích mở rộng quen thuộc cho các cửa hàng sử dụng WooCommerce, giúp khách hàng tạo và quản lý danh sách sản phẩm yêu thích. Tuy nhiên, lỗ hổng mới được phát hiện cho phép các tác nhân độc hại tải lên các tệp tin tùy ý lên máy chủ mà không cần bất kỳ hình thức xác thực nào. Điều này mở đường cho việc cài cắm mã độc, đánh cắp dữ liệu nhạy cảm, hoặc thậm chí là xóa sổ toàn bộ trang web - một kịch bản đặc biệt nguy hiểm đối với các trang thương mại điện tử thường xuyên xử lý thông tin thanh toán và dữ liệu khách hàng.
WordPress tiếp tục vướng phải sự cố nghiêm trọng vì bảo mật
ẢNH: CHỤP MÀN HÌNH WIRETRIP
Điều đáng lo ngại là phiên bản mới nhất của TI WooCommerce Wishlist (2.9.2) đã được cập nhật lần cuối cách nay đến 6 tháng và vẫn chưa có bản vá chính thức nào cho lỗ hổng nghiêm trọng này. Do đó, các chuyên gia bảo mật khuyến cáo mạnh mẽ những quản trị viên đang sử dụng plugin này nên vô hiệu hóa và gỡ bỏ nó ngay lập tức cho đến khi nhà phát triển tung ra bản cập nhật sửa lỗi.
Tuy nhiên, có một 'điểm sáng' nhỏ trong tình hình căng thẳng này là việc khai thác thành công lỗ hổng dường như chỉ có thể thực hiện được nếu trang web đó đồng thời cài đặt và kích hoạt plugin 'WC Fields Factory', cũng như có sự tích hợp giữa hai plugin này trên TI WooCommerce Wishlist. WC Fields Factory là một plugin miễn phí khác cho WooCommerce, dùng để thêm các trường tùy chỉnh vào sản phẩm và trang thanh toán.
Dù vậy, với mức độ nghiêm trọng 10/10, người dùng không nên chủ quan. Việc chủ động gỡ bỏ plugin bị lỗi là biện pháp bảo vệ tốt nhất hiện tại để tránh những thiệt hại không đáng có. Các quản trị viên nên theo dõi sát sao thông báo từ Patchstack và cộng đồng WordPress để cập nhật thông tin về bản vá sớm nhất.
//Chèn ads giữa bài (runinit = window.runinit || []).push(function () { //Nếu k chạy ads thì return if (typeof _chkPrLink != 'undefined' && _chkPrLink) return; var mutexAds = '<zone id="l2srqb41"></zone>'; var content = $('[data-role="content"]'); if (content.length > 0) { var childNodes = content[0].childNodes; for (i = 0; i < childNodes.length; i++) { var childNode = childNodes[i]; var isPhotoOrVideo = false; if (childNode.nodeName.toLowerCase() == 'div') { // kiem tra xem co la anh khong? var type = $(childNode).attr('class') + ''; if (type.indexOf('VCSortableInPreviewMode') >= 0) { isPhotoOrVideo = true; } } try { if ((i >= childNodes.length / 2 - 1) && (i < childNodes.length / 2) && !isPhotoOrVideo) { if (i <= childNodes.length - 3) { childNode.after(htmlToElement(mutexAds)); arfAsync.push("l2srqb41"); } break; } } catch (e) { } } } }); function htmlToElement(html) { var template = document.createElement('template'); template.innerHTML = html; return template.content.firstChild; }
