Hôm nay một lỗ hổng SQL Injection đã được phát hiện nằm trong số các plugin WordPress phổ biến nhất và được cài trên 300.000 trang web khác nhau.
Đó chính là plugin WP Statistics, đây là plugin giúp người quản trị theo dõi lưu lượng khách truy cập trang web, số lượng truy cập hay số trang truy cập. Với lỗi SQL Injection hacker có thể đăng ký tài khoản và lấy cắp thông tin “nhạy cảm” từ CSDL cũng như truy cập trái phép vào mã nguồn trang web.
SQL Injection trên thực tế tồn tại đã khá lâu. Đây là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server.
Lỗi này được phát hiện bởi các nhà nghiên cứu bảo mật tại Sucuri và lỗi đã được thông báo riêng đến nhóm phát triển WP Statistics từ sớm và nhóm đã cập nhật bản 12.0.8 khắc phục lỗi này. Do đó việc bạn cần làm là vào phần plugins của WordPress và cập nhật WP Statistics lên phiên bản 12.0.8.