wpDiscuz dính lỗi bảo mật nghiệm trọng

Canh Me hiện đang sử dụng wpDiscuz để thay thế cho hệ thống comment mặc định của WordPress, tuy nhiên plugin này đang gặp lỗi bảo mật nghiêm trọng.

Bạn nào đang sử dụng wpDiscuz phiên bản từ 7.0.0 – 7.0.4 hãy ngay lập tức cập nhật lên phiên bản mới 7.0.6 ngay vì website của bạn đang có nguy cơ bị tấn công chiếm tài khoản Hosting.

Hiện đang có khoảng 70,000 website WordPress đang sử dụng phiên bản cũ có nguy cơ bị tấn công Hosting/Server sau khi hacker tận dụng lỗi upload media để tải lên những file thực thi.

wpDiscuz là một plugin rất tốt thay thế cho hệ thống comment mặc định của WordPress với nhiều tính năng ưu việt như xử lý qua Ajax, cập nhật real-time, hỗ trợ nhiều layout và rất nhiều option hữu ích cho người dùng tùy biến. Ngoài ra, bạn còn có thể cài thêm nhiều extension trả phí nữa nếu muốn bổ sung thêm tính năng.

Lỗi bảo mật hiện tại của wpDiscuz rất nguy hiểm, được đánh giá thang điểm 10/10 CVSS, liên quan đến tính năng cho phép người dùng upload file hình ảnh đính kèm theo comment. Do không kiểm tra định dạng file đính kèm cẩn thận nên vô tình wpDiscuz cho phép upload cả những file thực thi PHP.

Nếu như bị khai thác, lỗi này cho phép hacker chạy được những câu lệnh trên server và chèn mã độc vào tất cả những website đang dùng chung hosting.

Phiên bản wpDiscuz 7.0.5 đã vá lỗi toàn bộ, và bản cập nhật đêm qua 7.0.6 vá thêm một số lỗi nhỏ khác nữa.

Xem thông tin chi tiết lỗi này tại đây.

guest
37 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
View all comments
Hải Lê
30
Hải Lê
23 giờ trước

toát mồ hôi với lỗi này.Nó đẩy file php lên rồi cho chèn mã vào all file index .đau não quá trời

Long
58
Long
1 ngày trước

Nếu site mình yêu cầu duyệt comment trước khi đăng thì có bị dính ko nhỉ

Dang Duc
276
Dang Duc
5 giờ trước
Reply to  Long

Vẫn dính nha, vì file đã được upload lên rồi, chỉ có comment là chưa hiện thôi.

Long
58
Long
5 giờ trước
Reply to  Dang Duc

May quá, site mình mới, chưa xuất hiện trên bản đồ nên nó ko truy ra rofl

Nam Ngô
48
Nam Ngô
1 ngày trước

Thanks admin! Tính ra mình đã comment từ 6 năm rồi nhỉ laugh

Doligo
168
Doligo
2 ngày trước

Comment mới đẹp hẳn ra ấy bác nhỉ laugh

Tùng Nguyễn
11
Tùng Nguyễn
3 ngày trước

Tự dưng vào blog mình thấy bắt setup lại từ đầu, đọc bài này mới biết. Bọn nó up lên 2 file là fvtsyen9.php và d0godp54.php

Binh Nguyen
1,146
Binh Nguyen
3 ngày trước

Hèn chi thấy canhme đổi giao diện cmt thấy lạ lạ

thoai
25
thoai
3 ngày trước

Bảo mật mình nên cài plugin gì vậy ad. E mới cài Wordfence mà ko biết cấu hình

Đặng Tiến Thịnh
374
Đặng Tiến Thịnh
4 ngày trước

Các bác xem site em bị sao mà em cài cái plugin này lại bị lỗi, đăng nhập thì bình thường nhưng khách thì hiển thị mỗi cái icon như hình https://dt16.net/wp-content/uploads/2020/07/010010.png, trong cài đặt em cho phép khách bình luận thì nó hiện cái icon như vậy, nếu không cho thì nó ko hiện icon nào mà sẽ ghi là phải đăng nhập mới có thể bình luận… link chi tiết các bác soi hộ em https://dt16.net/huong-dan-xuat-file-gerber-tu-altium-designer.html . Hay liệu có cần phải can thiệp vào trong code không, vì em ko thấy hướng dẫn nào phải can thiệp… Read more »

Triệu Vỹ
1,819
Triệu Vỹ
4 ngày trước

Liên hệ support đi bạn, họ sẽ test cho bạn và hướng dẫn fix, bên này hỗ trợ nhiệt tình lắm. Bên dưới còn có supporter vô bình luận nữa kìa.

phuc
4
phuc
4 ngày trước

Nguy hiểm quá. May mà mình chưa cài cái này chứ không chắc cũng ăn hành rồi :v

Huy Lê
1,373
Huy Lê
4 ngày trước

cảm ơn Luân đã cảnh báo!

Tùng MMO
310
Tùng MMO
4 ngày trước

cảm ơn admin, mình vừa mới update xong!

Hai Minh
40
Hai Minh
4 ngày trước

Thường site bị up lên trong wp-content thôi phải không nhỉ? Thấy một số file php lạ và mình đã xóa, đổi pass login wordpress.

Mọi người cho hỏi có cần phải đổi pass VPS không và nguy cơ bị lộ thông tin đến mức nào qua lỗi vừa qua?

Aiken Trung
36
Aiken Trung
4 ngày trước

Đã update! thank Luân

Thành
113
Thành
4 ngày trước

Đã đính gần chục site @@. Đang ko hiểu lỗi đâu ra thì đọc được bài này. nó up 2 file xxxxx.php xxxx.php vào thư mục gốc của tất cả trang web. Nội dung toàn loằng ngoằng.

Tom
2
Tom
5 ngày trước

And some numbers…
About 50% of wpDiscuz users are currently using 7.x.x versions. It’s about 35,000 websites.
30,000 of them have already updated to secure 7.0.5 and higher versions during last week. And about 3,000 websites are updating every day.
So in one two days there almost certainly won’t be any website with old unsecure 7.0.0 – 7.0.4 versions and almost all websites will be up to date and safe.

Tom
2
Tom
5 ngày trước

All is fixed!
The problem is 100% fixed and wpDiscuz is safe.
You can ignore this if you’ve already updated to 7.0.5 or higher version (current version is 7.0.6).
This was fixed and the new version 7.0.5 was released a week ago. There is not any issues with current wpDiscuz version. It’s 100% secure now.
This kind of issues happens with almost all WordPress plugins, so there is no reason to worry if you’ve updated and up to date.
Just keep updating your plugins and make sure you’re using the latest versions.

Thank you!
wpDiscuz Developers

Việt Anh
346
Việt Anh
5 ngày trước

Bữa toàn thấy ảnh lạ trong file media, chắc lỗi do plugin này rồi, không biết bị chèn mã độc gì không nữa sad(

Pháp Trình
432
Pháp Trình
5 ngày trước

Mấy cái thông số trên canh me bay màu rồi sad

Triệu Vỹ
1,819
Triệu Vỹ
2 ngày trước
Reply to  Pháp Trình

Có lại rùi laugh mà mình bị mất cái VIP Member luôn.

Tịnh Nguyễn Blog
404
Tịnh Nguyễn Blog
5 ngày trước

Ơn dời, may mà e hay vào kiểm tra plugin để cập nhật laugh Dạo gần đây plugin này cập nhật liên tục.

Triệu Vỹ
1,819
Triệu Vỹ
5 ngày trước

Nếu dùng bản cũ mà không cho phép upload file gì thì có sao không nhỉ?