wpDiscuz dính lỗi bảo mật nghiệm trọng

Canh Me hiện đang sử dụng wpDiscuz để thay thế cho hệ thống comment mặc định của WordPress, tuy nhiên plugin này đang gặp lỗi bảo mật nghiêm trọng.

Bạn nào đang sử dụng wpDiscuz phiên bản từ 7.0.0 – 7.0.4 hãy ngay lập tức cập nhật lên phiên bản mới 7.0.6 ngay vì website của bạn đang có nguy cơ bị tấn công chiếm tài khoản Hosting.

Cập nhật: lỗi này rất nguy hiểm, rất nhiều website và cả Canh Me đang bị tấn công nhiều kể từ khi xuất hiện. Các bạn lưu ý cập nhật ngay, và chia sẻ cho cả bạn bè biết thông tin nhé!

Hiện đang có khoảng 70,000 website WordPress đang sử dụng phiên bản cũ có nguy cơ bị tấn công Hosting/Server sau khi hacker tận dụng lỗi upload media để tải lên những file thực thi.

wpDiscuz là một plugin rất tốt thay thế cho hệ thống comment mặc định của WordPress với nhiều tính năng ưu việt như xử lý qua Ajax, cập nhật real-time, hỗ trợ nhiều layout và rất nhiều option hữu ích cho người dùng tùy biến. Ngoài ra, bạn còn có thể cài thêm nhiều extension trả phí nữa nếu muốn bổ sung thêm tính năng.

Lỗi bảo mật hiện tại của wpDiscuz rất nguy hiểm, được đánh giá thang điểm 10/10 CVSS, liên quan đến tính năng cho phép người dùng upload file hình ảnh đính kèm theo comment. Do không kiểm tra định dạng file đính kèm cẩn thận nên vô tình wpDiscuz cho phép upload cả những file thực thi PHP.

Nếu như bị khai thác, lỗi này cho phép hacker chạy được những câu lệnh trên server và chèn mã độc vào tất cả những website đang dùng chung hosting.

Phiên bản wpDiscuz 7.0.5 đã vá lỗi toàn bộ, và bản cập nhật đêm qua 7.0.6 vá thêm một số lỗi nhỏ khác nữa.

Xem thông tin chi tiết lỗi này tại đây.

Cập nhật 2 tháng trước

guest
57 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
View all comments

Hai Minh
55
Hai Minh
1 tháng trước

Dạo này thấy site bị báo malware khi truy cập, mới dùng wordfence check lại thì thấy bị sửa file php quá trời. https://i.imgur.com/NYSoN15.png Thằng wpdiscuz miệng thì kêu update lên thì ko sao nhưng nhiều site có kịp update đâu (nó báo lỗi ngay lúc mình đang đi Đà Nẵng thì update bằng niềm tin), giờ bị lỗi ai đền. Hên check lại đống backup của mình thì thấy ngày 30/07 chưa bị sửa file nên chắc phải restore từ đây, chứ không biết giờ bị lỗ hỏng nguy hiểm đến mức nào để sửa lại. Rồi các site… Read more »

Nhân
24
Nhân
1 tháng trước

Nguy hiểm thật

Hồ Ngọc Tú
6
Hồ Ngọc Tú
1 tháng trước

Trong file chứa cáii này:

‰PNG

IHDR”sõ­dtEXtSoftware

Tấn công như nào nhỉ????

Hieu Huynh
873
Hieu Huynh
1 tháng trước
Kiên Nguyễn
37
Kiên Nguyễn
1 tháng trước

Thường thì những plugin lớn thế này đội ngũ DEV fix trong 1 nốt nhạc. Có gì mà nhà mình cứ xoắn cả lên thế.

Doligo
185
Doligo
1 tháng trước
Reply to  Kiên Nguyễn

Họ thấy lỗi bảo mật thì sửa ngay, nhưng Bác Luân kêu gọi mọi người vì những anh em đã cài đặt plugin wpDiscuz ver 7.0.0 – 7.0.4 đang bị lỗi. Nếu ko cập nhật lên ver 7.0.6 thì hacker có thể tải file php lên máy chủ và có đủ quyền để tấn công website của nạn nhân.
Không xoắn thì còn gì nữa.

Hieu Huynh
873
Hieu Huynh
1 tháng trước
Reply to  Kiên Nguyễn

Quan trọng là đang có rất nhiều site đang xài bản bị lỗi bảo mật, phải update lên bản 7.0.6. Chứ dev cũng fix trong 1 nốt nhạc mà, chủ yếu bài này cảnh báo người dùng phải update lên thôi laugh

Hồ Ngọc Tú
6
Hồ Ngọc Tú
1 tháng trước
Reply to  Kiên Nguyễn

Xoắn gì nhỉ. DEV họ đã fix ở phiên bản 7.0.6, người ta nhắc nhở cập nhật lên bản đó có gì gọi là xoắn nhỉ?

Binh Nguyen
1,197
Binh Nguyen
1 tháng trước

Có ngĩa là xài plugin wpDiscuz này mới dính chưởng phải k mấy bác sad

Doligo
185
Doligo
1 tháng trước
Reply to  Binh Nguyen

Chứ bác muốn dính trên cái nào nữa

Binh Nguyen
1,197
Binh Nguyen
1 tháng trước
Reply to  Doligo

Dính trên mã nguồn wp lun kkk

Doligo
185
Doligo
1 tháng trước
Reply to  Binh Nguyen

Nếu bác ko càn wpDiscuz thì ảnh hường gì đến Source của WP chứ

Hieu Huynh
873
Hieu Huynh
1 tháng trước
Reply to  Binh Nguyen

Hiện tại thì Divi cũng bị dính lỗi bảo mật nữa. Mình cũng dính mấy site xài wpDiscuz với mấy site xài Divi sad

hải lê
31
hải lê
1 tháng trước
Reply to  Luân Trần

Website đã làm theo hướng dẫn từ wordfence nhưng vẫn bị mã độc. Có cách nào giải quyết dứt điểm không anh nhỉ. Em cảm ơn

Hải Lê
31
Hải Lê
1 tháng trước

toát mồ hôi với lỗi này.Nó đẩy file php lên rồi cho chèn mã vào all file index .đau não quá trời

Doligo
185
Doligo
1 tháng trước
Reply to  Hải Lê

Những website bán hàng, nó đọc được file config sau đó truy cập đc cơ sở dữ liệu mới đáng sợ.

Long
58
Long
1 tháng trước

Nếu site mình yêu cầu duyệt comment trước khi đăng thì có bị dính ko nhỉ

Dang Duc
276
Dang Duc
1 tháng trước
Reply to  Long

Vẫn dính nha, vì file đã được upload lên rồi, chỉ có comment là chưa hiện thôi.

Long
58
Long
1 tháng trước
Reply to  Dang Duc

May quá, site mình mới, chưa xuất hiện trên bản đồ nên nó ko truy ra rofl

Nam Ngô
50
Nam Ngô
1 tháng trước

Thanks admin! Tính ra mình đã comment từ 6 năm rồi nhỉ laugh

Thành Thái
86
Thành Thái
1 tháng trước
Reply to  Nam Ngô

Lượn comment mà chưa thấy có ai số năm bằng anh rofl
Ngoại trừ ông admin :p

Doligo
185
Doligo
1 tháng trước

Comment mới đẹp hẳn ra ấy bác nhỉ laugh

Tùng Nguyễn
11
Tùng Nguyễn
1 tháng trước

Tự dưng vào blog mình thấy bắt setup lại từ đầu, đọc bài này mới biết. Bọn nó up lên 2 file là fvtsyen9.php và d0godp54.php

Binh Nguyen
1,197
Binh Nguyen
1 tháng trước

Hèn chi thấy canhme đổi giao diện cmt thấy lạ lạ

thoai
26
thoai
1 tháng trước

Bảo mật mình nên cài plugin gì vậy ad. E mới cài Wordfence mà ko biết cấu hình

Bùi Trung Hiếu
22
Bùi Trung Hiếu
1 tháng trước
Reply to  thoai

Bạn nên dùng Defender hoặc Sucuri nhé.

Đặng Tiến Thịnh
421
Đặng Tiến Thịnh
1 tháng trước

Các bác xem site em bị sao mà em cài cái plugin này lại bị lỗi, đăng nhập thì bình thường nhưng khách thì hiển thị mỗi cái icon như hình https://dt16.net/wp-content/uploads/2020/07/010010.png, trong cài đặt em cho phép khách bình luận thì nó hiện cái icon như vậy, nếu không cho thì nó ko hiện icon nào mà sẽ ghi là phải đăng nhập mới có thể bình luận… link chi tiết các bác soi hộ em https://dt16.net/huong-dan-xuat-file-gerber-tu-altium-designer.html . Hay liệu có cần phải can thiệp vào trong code không, vì em ko thấy hướng dẫn nào phải can thiệp… Read more »

Triệu Vỹ
1,826
Triệu Vỹ
1 tháng trước

Liên hệ support đi bạn, họ sẽ test cho bạn và hướng dẫn fix, bên này hỗ trợ nhiệt tình lắm. Bên dưới còn có supporter vô bình luận nữa kìa.

Đặng Tiến Thịnh
421
Đặng Tiến Thịnh
1 tháng trước
Reply to  Triệu Vỹ

cảm ơn bác đã tương trợ, em đã tìm ra lỗi, php host bị chặn hàm, em bê nguyên bộ code đó mang sang host khác chạy đúng chuẩn luôn smile

phuc
4
phuc
1 tháng trước

Nguy hiểm quá. May mà mình chưa cài cái này chứ không chắc cũng ăn hành rồi :v

Huy Lê
1,380
Huy Lê
1 tháng trước

cảm ơn Luân đã cảnh báo!

Tùng MMO
311
Tùng MMO
1 tháng trước

cảm ơn admin, mình vừa mới update xong!

Hai Minh
55
Hai Minh
1 tháng trước

Thường site bị up lên trong wp-content thôi phải không nhỉ? Thấy một số file php lạ và mình đã xóa, đổi pass login wordpress.

Mọi người cho hỏi có cần phải đổi pass VPS không và nguy cơ bị lộ thông tin đến mức nào qua lỗi vừa qua?

Aiken Trung
37
Aiken Trung
1 tháng trước

Đã update! thank Luân

Thành
113
Thành
1 tháng trước

Đã đính gần chục site @@. Đang ko hiểu lỗi đâu ra thì đọc được bài này. nó up 2 file xxxxx.php xxxx.php vào thư mục gốc của tất cả trang web. Nội dung toàn loằng ngoằng.

Hồ Ngọc Tú
6
Hồ Ngọc Tú
1 tháng trước
Reply to  Thành

E cũng dính, đọc bài này mới biết. May quá, k sao cả, smile