wpDiscuz dính lỗi bảo mật nghiệm trọng

Canh Me hiện đang sử dụng wpDiscuz để thay thế cho hệ thống comment mặc định của WordPress, tuy nhiên plugin này đang gặp lỗi bảo mật nghiêm trọng.

Bạn nào đang sử dụng wpDiscuz phiên bản từ 7.0.0 – 7.0.4 hãy ngay lập tức cập nhật lên phiên bản mới 7.0.6 ngay vì website của bạn đang có nguy cơ bị tấn công chiếm tài khoản Hosting.

Cập nhật: lỗi này rất nguy hiểm, rất nhiều website và cả Canh Me đang bị tấn công nhiều kể từ khi xuất hiện. Các bạn lưu ý cập nhật ngay, và chia sẻ cho cả bạn bè biết thông tin nhé!

Hiện đang có khoảng 70,000 website WordPress đang sử dụng phiên bản cũ có nguy cơ bị tấn công Hosting/Server sau khi hacker tận dụng lỗi upload media để tải lên những file thực thi.

wpDiscuz là một plugin rất tốt thay thế cho hệ thống comment mặc định của WordPress với nhiều tính năng ưu việt như xử lý qua Ajax, cập nhật real-time, hỗ trợ nhiều layout và rất nhiều option hữu ích cho người dùng tùy biến. Ngoài ra, bạn còn có thể cài thêm nhiều extension trả phí nữa nếu muốn bổ sung thêm tính năng.

Lỗi bảo mật hiện tại của wpDiscuz rất nguy hiểm, được đánh giá thang điểm 10/10 CVSS, liên quan đến tính năng cho phép người dùng upload file hình ảnh đính kèm theo comment. Do không kiểm tra định dạng file đính kèm cẩn thận nên vô tình wpDiscuz cho phép upload cả những file thực thi PHP.

Nếu như bị khai thác, lỗi này cho phép hacker chạy được những câu lệnh trên server và chèn mã độc vào tất cả những website đang dùng chung hosting.

Phiên bản wpDiscuz 7.0.5 đã vá lỗi toàn bộ, và bản cập nhật đêm qua 7.0.6 vá thêm một số lỗi nhỏ khác nữa.

Xem thông tin chi tiết lỗi này tại đây.

4.7/5 - (93 votes)

Cập nhật 4 năm trước

guest

62 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
View all comments

Châu
2
Châu
1 năm trước

Bác cho em hỏi mình dùng plugin này có cách nào load comment ngay khi được duyệt mà vẫn đang dùng các plugin cache không ạ
Không biết hiện tại bên mình đang cache bằng gì ạ
Em thấy plugin Discuz này mọi thứ đều ngon, nhưng em duyệt comment phải xóa cache web mới hiện, em sợ nó lại sập luôn web vì quá tải, nó không có load comment bằng ajax bác nhỉ sweat

Võ Đông Hồ
2
Võ Đông Hồ
3 năm trước

Hiện tại Plugin này đã ổn định chưa vậy mấy bác ! Từ lúc bài này bác Luân đăng ! Em tháo khỏi site luôn rồi !

Hoàng Duẩn
3
Hoàng Duẩn
3 năm trước

Anh cho em hỏi wpDiscuz có xung đột với plugin gì của mythemshop không ạ. A có cách nào kiểm tra không ạ. Khi vào trang chủ vẫn bình thường nhưng nếu vào bài viết đơn là bị lỗi kiểu như Css vậy. A check em với được không. Xin lỗi vì làm phiền, blog em đây ạ: https://hoangduan.com.

Hai Minh
65
Hai Minh
3 năm trước

Dạo này thấy site bị báo malware khi truy cập, mới dùng wordfence check lại thì thấy bị sửa file php quá trời. https://i.imgur.com/NYSoN15.png Thằng wpdiscuz miệng thì kêu update lên thì ko sao nhưng nhiều site có kịp update đâu (nó báo lỗi ngay lúc mình đang đi Đà Nẵng thì update bằng niềm tin), giờ bị lỗi ai đền. Hên check lại đống backup của mình thì thấy ngày 30/07 chưa bị sửa file nên chắc phải restore từ đây, chứ không biết giờ bị lỗ hỏng nguy hiểm đến mức nào để sửa lại. Rồi các site… Read more »

Nhân
27
Nhân
3 năm trước

Nguy hiểm thật

Hồ Ngọc Tú
8
Hồ Ngọc Tú
3 năm trước

Trong file chứa cáii này:

‰PNG

IHDR”sõ­dtEXtSoftware

Tấn công như nào nhỉ????

Hieu Huynh
897
Hieu Huynh
3 năm trước
Kiên Nguyễn
37
Kiên Nguyễn
3 năm trước

Thường thì những plugin lớn thế này đội ngũ DEV fix trong 1 nốt nhạc. Có gì mà nhà mình cứ xoắn cả lên thế.

Doligo
498
Doligo
3 năm trước
Reply to  Kiên Nguyễn

Họ thấy lỗi bảo mật thì sửa ngay, nhưng Bác Luân kêu gọi mọi người vì những anh em đã cài đặt plugin wpDiscuz ver 7.0.0 – 7.0.4 đang bị lỗi. Nếu ko cập nhật lên ver 7.0.6 thì hacker có thể tải file php lên máy chủ và có đủ quyền để tấn công website của nạn nhân.
Không xoắn thì còn gì nữa.

Hieu Huynh
897
Hieu Huynh
3 năm trước
Reply to  Kiên Nguyễn

Quan trọng là đang có rất nhiều site đang xài bản bị lỗi bảo mật, phải update lên bản 7.0.6. Chứ dev cũng fix trong 1 nốt nhạc mà, chủ yếu bài này cảnh báo người dùng phải update lên thôi laugh

Hồ Ngọc Tú
8
Hồ Ngọc Tú
3 năm trước
Reply to  Kiên Nguyễn

Xoắn gì nhỉ. DEV họ đã fix ở phiên bản 7.0.6, người ta nhắc nhở cập nhật lên bản đó có gì gọi là xoắn nhỉ?

Binh Nguyen
1,476
Binh Nguyen
3 năm trước

Có ngĩa là xài plugin wpDiscuz này mới dính chưởng phải k mấy bác sad

Doligo
498
Doligo
3 năm trước
Reply to  Binh Nguyen

Chứ bác muốn dính trên cái nào nữa

Binh Nguyen
1,476
Binh Nguyen
3 năm trước
Reply to  Doligo

Dính trên mã nguồn wp lun kkk

Doligo
498
Doligo
3 năm trước
Reply to  Binh Nguyen

Nếu bác ko càn wpDiscuz thì ảnh hường gì đến Source của WP chứ

Hieu Huynh
897
Hieu Huynh
3 năm trước
Reply to  Binh Nguyen

Hiện tại thì Divi cũng bị dính lỗi bảo mật nữa. Mình cũng dính mấy site xài wpDiscuz với mấy site xài Divi sad

hải lê
39
hải lê
3 năm trước
Reply to  Luân Trần

Website đã làm theo hướng dẫn từ wordfence nhưng vẫn bị mã độc. Có cách nào giải quyết dứt điểm không anh nhỉ. Em cảm ơn

Hải Lê
39
Hải Lê
3 năm trước

toát mồ hôi với lỗi này.Nó đẩy file php lên rồi cho chèn mã vào all file index .đau não quá trời

Doligo
498
Doligo
3 năm trước
Reply to  Hải Lê

Những website bán hàng, nó đọc được file config sau đó truy cập đc cơ sở dữ liệu mới đáng sợ.

Long
58
Long
3 năm trước

Nếu site mình yêu cầu duyệt comment trước khi đăng thì có bị dính ko nhỉ

Dang Duc
290
Dang Duc
3 năm trước
Reply to  Long

Vẫn dính nha, vì file đã được upload lên rồi, chỉ có comment là chưa hiện thôi.

Long
58
Long
3 năm trước
Reply to  Dang Duc

May quá, site mình mới, chưa xuất hiện trên bản đồ nên nó ko truy ra rofl

Nam Ngô
73
Nam Ngô
3 năm trước

Thanks admin! Tính ra mình đã comment từ 6 năm rồi nhỉ laugh

Thành Thái
262
Thành Thái
3 năm trước
Reply to  Nam Ngô

Lượn comment mà chưa thấy có ai số năm bằng anh rofl
Ngoại trừ ông admin :p

Doligo
498
Doligo
3 năm trước

Comment mới đẹp hẳn ra ấy bác nhỉ laugh

Tùng Nguyễn
11
Tùng Nguyễn
3 năm trước

Tự dưng vào blog mình thấy bắt setup lại từ đầu, đọc bài này mới biết. Bọn nó up lên 2 file là fvtsyen9.php và d0godp54.php

Binh Nguyen
1,476
Binh Nguyen
3 năm trước

Hèn chi thấy canhme đổi giao diện cmt thấy lạ lạ

thoai
26
thoai
3 năm trước

Bảo mật mình nên cài plugin gì vậy ad. E mới cài Wordfence mà ko biết cấu hình

Bùi Trung Hiếu
59
Bùi Trung Hiếu
3 năm trước
Reply to  thoai

Bạn nên dùng Defender hoặc Sucuri nhé.

Đặng Tiến Thịnh
470
Đặng Tiến Thịnh
3 năm trước

Các bác xem site em bị sao mà em cài cái plugin này lại bị lỗi, đăng nhập thì bình thường nhưng khách thì hiển thị mỗi cái icon như hình https://dt16.net/wp-content/uploads/2020/07/010010.png, trong cài đặt em cho phép khách bình luận thì nó hiện cái icon như vậy, nếu không cho thì nó ko hiện icon nào mà sẽ ghi là phải đăng nhập mới có thể bình luận… link chi tiết các bác soi hộ em https://dt16.net/huong-dan-xuat-file-gerber-tu-altium-designer.html . Hay liệu có cần phải can thiệp vào trong code không, vì em ko thấy hướng dẫn nào phải can thiệp… Read more »

Triệu Vỹ
1,928
Triệu Vỹ
3 năm trước

Liên hệ support đi bạn, họ sẽ test cho bạn và hướng dẫn fix, bên này hỗ trợ nhiệt tình lắm. Bên dưới còn có supporter vô bình luận nữa kìa.

Đặng Tiến Thịnh
470
Đặng Tiến Thịnh
3 năm trước
Reply to  Triệu Vỹ

cảm ơn bác đã tương trợ, em đã tìm ra lỗi, php host bị chặn hàm, em bê nguyên bộ code đó mang sang host khác chạy đúng chuẩn luôn smile

phuc
9
phuc
3 năm trước

Nguy hiểm quá. May mà mình chưa cài cái này chứ không chắc cũng ăn hành rồi :v

Huy Lê
1,382
Huy Lê
3 năm trước

cảm ơn Luân đã cảnh báo!

Tùng MMO
315
Tùng MMO
3 năm trước

cảm ơn admin, mình vừa mới update xong!