(Nguồn ảnh: Shutterstock)
Nếu trang web của bạn đang sử dụng plugin Quiz and Survey Master dành cho WordPress , bạn nên cập nhật lên phiên bản mới nhất, nếu không sẽ có nguy cơ bị tấn công mạng.
QSM cho phép người dùng tạo các bài kiểm tra, khảo sát và biểu mẫu mà không cần lập trình, với hơn 40.000 trang web đang sử dụng nó - nhưng gần đây, người ta phát hiện ra rằng các phiên bản 10.3.1 trở xuống dễ bị tổn thương bởi lỗi tấn công SQL injection, cho phép bất kỳ người dùng nào đã đăng nhập đều có thể chèn lệnh vào cơ sở dữ liệu.
Một bản tư vấn bảo mật từ Patchstack lưu ý rằng điều này có nghĩa là bất kỳ người dùng nào có tài khoản "người đăng ký" hoặc tài khoản có quyền cao hơn đều có thể thực hiện nhiều hành động không mong muốn trên các trang web dễ bị tổn thương, bao gồm cả việc đánh cắp dữ liệu.
Có bao nhiêu trang web dễ bị tấn công?
Người dùng nên cập nhật lên phiên bản này hoặc bất kỳ phiên bản mới hơn nào càng sớm càng tốt. Theo dữ liệu trên trang web chính thức WordPress.org, phiên bản mới nhất là 10.3.5.
Thật không may, không có cách nào để biết chính xác có bao nhiêu trang web đã được vá lỗi và bao nhiêu trang web vẫn còn dễ bị tấn công. Số liệu chính thức cho thấy phần lớn - 52,1% - đang sử dụng phiên bản 10.3, điều đó có nghĩa là ít nhất 47,9% - tương đương với 19.160 trang web - chắc chắn dễ bị tấn công. Trong số 39.980 trang web còn lại, ít nhất một số đang sử dụng phiên bản 10.3.1 dễ bị tấn công.
Hiện tại, chưa có bằng chứng nào cho thấy lỗ hổng này bị lợi dụng trong thực tế, nhưng xét đến mức độ phổ biến của nó, có thể an toàn khi cho rằng các tác nhân đe dọa sẽ bắt đầu quét các trang web sử dụng QSM. Lỗi này hiện được theo dõi với mã CVE-2025-67987 và đã được khắc phục trong phiên bản 10.3.2.
Theo nguyên tắc chung, người dùng WordPress luôn nên cập nhật nền tảng xây dựng website của mình , cũng như bất kỳ plugin và theme nào họ đang sử dụng. Các chuyên gia bảo mật cũng khuyên rằng tất cả các plugin và theme không được sử dụng thường xuyên nên được xóa hoàn toàn khỏi máy chủ.
