Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0
  • Trang chủ
  • Tin tức công nghệ
  • 50.000 trang web WordPress bị ảnh hưởng bởi lỗ hổng bảo mật nghiêm trọng của plugin - đây là cách để giữ an toàn.

50.000 trang web WordPress bị ảnh hưởng bởi lỗ hổng bảo mật nghiêm trọng của plugin - đây là cách để giữ an toàn.

Tác giả thanhtrung 26/01/2026 7 phút đọc

Một plugin WordPress phổ biến có một lỗi đáng lo ngại.

 

Logo WordPress trên thiết bị di động

(Nguồn ảnh: Shutterstock)

Hiện có khoảng 50.000 trang web WordPress đang có nguy cơ bị chiếm quyền kiểm soát hoàn toàn, do một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trong một plugin phổ biến .

 

Vào giữa tháng 12 năm 2025, Wordfence đã được nhà nghiên cứu bảo mật Andrea Bocchetti thông báo về một lỗ hổng trong Advanced Custom Fields: Extended, một plugin bổ sung thêm nhiều tính năng cho plugin Advanced Custom Fields (ACF).

ACF cũng cho phép người dùng thêm các trường tùy chỉnh vào bài viết và trang, và hiện đang được khoảng 100.000 trang web WordPress sử dụng rộng rãi.

Làm thế nào để giữ an toàn

Bocchetti cho biết lỗi này bắt nguồn từ việc các hạn chế về vai trò không được thực thi đúng cách trong quá trình tạo hoặc cập nhật người dùng dựa trên biểu mẫu.

 

"Trong phiên bản dễ bị tổn thương, không có bất kỳ hạn chế nào đối với các trường biểu mẫu, vì vậy vai trò của người dùng có thể được thiết lập tùy ý, thậm chí là 'quản trị viên', bất kể cài đặt trường, nếu có trường vai trò được thêm vào biểu mẫu," Wordfence giải thích trong thông báo của mình.

"Giống như bất kỳ lỗ hổng leo thang đặc quyền nào, lỗ hổng này có thể được sử dụng để xâm nhập hoàn toàn vào hệ thống."

Nói cách khác, bất kỳ người dùng nào chưa được xác thực đều có thể tự thiết lập mình làm quản trị viên cho một trang web WordPress, về cơ bản là chiếm quyền kiểm soát trang web đó.

Lỗ hổng này được phát hiện trong các phiên bản 0.9.2.1 trở xuống và hiện đang được theo dõi với mã số CVE-2025-14533. Mức độ nghiêm trọng được đánh giá là 9.8/10 (nghiêm trọng).

Điểm tích cực là lỗ hổng này khó bị khai thác. Các trang web cần sử dụng biểu mẫu "Tạo người dùng" hoặc "Cập nhật người dùng" với trường vai trò được ánh xạ.

Lỗi này đã được khắc phục trong phiên bản 0.9.2.2. Theo số liệu chính thức của WordPress, khoảng 50.000 trang web đã cập nhật lên phiên bản mới nhất, nghĩa là số lượng trang web vẫn còn nguy cơ bị ảnh hưởng cũng xấp xỉ con số đó.

Tính đến thời điểm bài báo này được viết, chưa có bằng chứng nào cho thấy lỗ hổng này bị lợi dụng trong thực tế, nhưng giờ đây khi thông tin đã được lan truyền, có thể dự đoán rằng tội phạm mạng sẽ bắt đầu ít nhất là tìm kiếm các lỗ hổng.

Tác giả thanhtrung Admin
Bài viết trước Tính năng ẩn của thiết bị phát trực tuyến Roku mang đến cho bạn một tiện ích bổ sung miễn phí giúp cải thiện khả năng kết nối và hiệu suất.

Tính năng ẩn của thiết bị phát trực tuyến Roku mang đến cho bạn một tiện ích bổ sung miễn phí giúp cải thiện khả năng kết nối và hiệu suất.
Bài viết tiếp theo

1Password bây giờ có thể kéo lên mật khẩu cụ thể dựa trên vị trí của bạn

1Password bây giờ có thể kéo lên mật khẩu cụ thể dựa trên vị trí của bạn
Viết bình luận
Thêm bình luận

Bài viết liên quan

Tính năng ẩn của thiết bị phát trực tuyến Roku mang đến cho bạn một tiện ích bổ sung miễn phí giúp cải thiện khả năng kết nối và hiệu suất. Tin tức công nghệ
26/01/2026

Tính năng ẩn của thiết bị phát trực tuyến Roku mang đến cho bạn một tiện ích bổ sung miễn phí giúp cải thiện khả năng kết nối và hiệu suất.

Nhận ngay bộ mở rộng HDMI miễn phí! (Nguồn ảnh: Future) Nếu bạn đã từng thử một vài thương hiệu ...

Một nghiên cứu mới của Runway tiết lộ rằng hầu hết mọi người hiện nay không thể phân biệt được video do AI tạo ra với thực tế - ngay cả người đồng sáng lập của công ty cũng vậy. Tin tức công nghệ
26/01/2026

Một nghiên cứu mới của Runway tiết lộ rằng hầu hết mọi người hiện nay không thể phân biệt được video do AI tạo ra với thực tế - ngay cả người đồng sáng lập của công ty cũng vậy.

Đây là một vấn đề Ảnh tĩnh từ video AI do Runway Gen-4.5 tạo ra (Nguồn ảnh: Runway) Dường như chúng ...

Một chiêu trò lừa đảo giả mạo danh tính mới trên LinkedIn đang nhắm vào các giám đốc điều hành trực tuyến - hãy đảm bảo bạn không trở thành nạn nhân của chiêu trò này. Bài viết về Apple
26/01/2026

Một chiêu trò lừa đảo giả mạo danh tính mới trên LinkedIn đang nhắm vào các giám đốc điều hành trực tuyến - hãy đảm bảo bạn không trở thành nạn nhân của chiêu trò này.

Một chút Python, một chút kỹ thuật tải DLL thủ công. undefined (Nguồn ảnh: Shutterstock / Primakov) ...

Bàn phím phần cứng cho điện thoại là một trào lưu bắt nguồn từ sự thất vọng với bàn phím iPhone — và nó có thể sẽ không kéo dài. Tin tức công nghệ
26/01/2026

Bàn phím phần cứng cho điện thoại là một trào lưu bắt nguồn từ sự thất vọng với bàn phím iPhone — và nó có thể sẽ không kéo dài.

Tiếp theo là gì? Rotary à? (Nguồn ảnh: Clicks) Blackberry, Palm, Samsung , Nokia: đây là bốn "ông ...

Cuối cùng, tin tặc đã tạo ra được phần mềm độc hại tinh vi do trí tuệ nhân tạo (AI) tạo ra – virus AI này hoạt động chỉ trong vài ngày Tin tức công nghệ
26/01/2026

Cuối cùng, tin tặc đã tạo ra được phần mềm độc hại tinh vi do trí tuệ nhân tạo (AI) tạo ra – virus AI này hoạt động chỉ trong vài ngày

VoidLink đã sử dụng một tác nhân trí tuệ nhân tạo (AI) cho hầu hết quá trình phát triển của mình. ...

Tôi đã xem qua hầu hết các mẫu robot hút bụi mới ra mắt năm 2026, và đây là 2 mẫu mà tôi rất muốn được thử. Tin tức công nghệ
26/01/2026

Tôi đã xem qua hầu hết các mẫu robot hút bụi mới ra mắt năm 2026, và đây là 2 mẫu mà tôi rất muốn được thử.

Hai thương hiệu robot hút bụi hàng đầu; hai mẫu robot chủ lực mới tuyệt đẹp. (Nguồn ảnh: Future) Tôi ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC