Cloudflare cập nhật WAF bảo vệ WordPress trước hai lỗ hổng bảo mật nghiêm trọng
Cloudflare vừa triển khai các quy tắc WAF mới nhằm ngăn chặn khai thác hai lỗ hổng bảo mật nghiêm trọng trên WordPress, bao gồm RCE và SQL Injection.
Cloudflare vừa chính thức triển khai các quy tắc bảo mật mới trên Web Application Firewall (WAF) để bảo vệ người dùng WordPress trước hai lỗ hổng bảo mật có mức độ nghiêm trọng cao. Các lỗ hổng này bao gồm lỗi thực thi mã từ xa (Remote Code Execution – RCE) không cần xác thực thông qua REST API và một lỗi SQL Injection liên quan.
Chi tiết về các lỗ hổng
Đội ngũ bảo mật của WordPress đã phối hợp chặt chẽ với Cloudflare để chuẩn bị các biện pháp phòng vệ trước khi công bố lỗ hổng ra công chúng. Cụ thể:
- CVE-2026-60137 (SQL Injection): Ảnh hưởng đến WordPress từ phiên bản 6.8 trở đi. Lỗ hổng này cho phép kẻ tấn công gửi các yêu cầu được tinh chỉnh để can thiệp vào truy vấn cơ sở dữ liệu.
- CVE-2026-63030 (Unauthenticated RCE): Ảnh hưởng đến các phiên bản từ 6.9 trở lên. Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa thông qua batch endpoint của REST API trong trường hợp hệ thống không sử dụng persistent object cache. Điểm nguy hiểm là kẻ tấn công không cần đăng nhập hay tương tác với người dùng để khai thác.
Khuyến nghị cho quản trị viên
Mặc dù các quy tắc WAF của Cloudflare đã được kích hoạt tự động cho tất cả khách hàng (bao gồm cả gói miễn phí và trả phí) có sử dụng proxy, đây chỉ là giải pháp tình thế để giảm thiểu rủi ro. Việc cập nhật bản vá vẫn là ưu tiên hàng đầu.
WordPress đã phát hành các bản sửa lỗi trong phiên bản 7.0.2, cùng với các bản backport cho các nhánh trước đó như 6.9.5 và 6.8.6. Do tính chất nghiêm trọng, WordPress cũng đang triển khai cơ chế tự động cập nhật cho các trang web bị ảnh hưởng. Tuy nhiên, quản trị viên vẫn nên kiểm tra thủ công phiên bản hiện tại của hệ thống và tuân thủ hướng dẫn bảo mật chính thức từ WordPress để đảm bảo an toàn tuyệt đối.
Nguồn tham khảo: Cloudflare Blog


No Comment! Be the first one.