Lỗ hổng SQL Injection nguy hiểm ảnh hưởng hơn 40.000 trang WordPress

Tại Tadu Cloud, chúng tôi luôn theo dõi sát sao những diễn biến mới nhất trong bức tranh an ninh mạng toàn cầu. Một sự kiện đáng chú ý, được ghi nhận vào đầu năm 2026, đã gióng lên hồi chuông cảnh báo về rủi ro bảo mật tiềm ẩn ngay cả trong những plugin WordPress được sử dụng rộng rãi nhất. Cụ thể, hơn 40.000 trang web WordPress đang sử dụng plugin Quiz and Survey Master (QSM) đã bị ảnh hưởng bởi một lỗ hổng SQL Injection nghiêm trọng. Lỗ hổng này, được định danh là CVE-2025-67987, cho phép người dùng đã xác thực can thiệp vào các truy vấn cơ sở dữ liệu, mở ra cánh cửa cho việc truy cập dữ liệu trái phép.

Câu chuyện này không chỉ là một báo cáo về lỗ hổng kỹ thuật; nó là một lời nhắc nhở sắc bén về tầm quan trọng của tư duy “zero-trust” (không tin tưởng bất kỳ ai) khi xử lý dữ liệu đầu vào. Với kinh nghiệm vận hành nhiều hệ thống, Tadu Cloud hiểu rằng mỗi dòng code, mỗi tham số truyền vào đều có thể trở thành điểm yếu nếu không được kiểm soát chặt chẽ. Lỗ hổng này tồn tại trong các phiên bản 10.3.1 trở về trước của QSM, một plugin phổ biến được biết đến với khả năng tạo ra các bài kiểm tra, khảo sát và biểu mẫu đa dạng, với các tính năng như hỗ trợ đa phương tiện và trình xây dựng kéo thả trực quan. Chính sự phổ biến này đã làm cho phạm vi ảnh hưởng của nó trở nên rộng lớn.

Điều đáng lo ngại là lỗ hổng này không yêu cầu quyền quản trị viên (admin). Bất kỳ người dùng nào có quyền từ Cấp độ Người đăng ký (Subscriber) trở lên đều có thể lợi dụng nó. Điều này có nghĩa là một lượng lớn tài khoản người dùng, vốn thường được xem là có quyền hạn thấp, lại có thể trở thành phương tiện để kích hoạt sự cố. Trong môi trường doanh nghiệp hay các website cộng đồng lớn, việc có hàng ngàn tài khoản Subscriber là chuyện thường tình, và mỗi tài khoản đó đều tiềm ẩn nguy cơ. Đối với các lập trình viên và quản trị hệ thống tại Tadu Cloud, đây là một kịch bản cần phải được phòng ngừa ngay từ khâu thiết kế kiến trúc.

Đọc thêm: Plugin W3 Total Cache lộ lỗ hổng nguy hiểm mức 9/10, nhà phát triển tung liền 3 bản vá nhưng đều thất bại

Phân Tích Sâu Về Cơ Chế Lỗ Hổng (CVE-2025-67987)

Để hiểu rõ hơn về cách thức hoạt động của lỗ hổng này, chúng ta cần đào sâu vào chi tiết kỹ thuật. Lỗi nằm trong một hàm của REST API, chịu trách nhiệm truy xuất dữ liệu câu hỏi của bài kiểm tra. Cụ thể, một tham số trong yêu cầu có tên là is_linking đã được giả định là một định danh số và được chèn trực tiếp vào một truy vấn cơ sở dữ liệu mà không có bất kỳ quy trình xác thực (validation) phù hợp nào. Đây là một sai lầm cơ bản nhưng chết người, giống như việc mở toang cửa kho dữ liệu mà không cần chìa khóa.

Không có quá trình làm sạch dữ liệu (sanitization) nào được áp dụng trước khi giá trị của is_linking được kết hợp với các ID câu hỏi khác và thực thi như một phần của câu lệnh SQL. Điều này đã tạo ra một khe hở lớn. Một người dùng độc hại có thể cung cấp đầu vào được chế tạo đặc biệt, chứa các lệnh SQL bổ sung. Vì truy vấn không được xây dựng bằng cách sử dụng các câu lệnh đã chuẩn bị (prepared statements), cơ sở dữ liệu sẽ xử lý nội dung được chèn vào như một phần của chính truy vấn, mở ra cánh cửa cho việc trích xuất dữ liệu, sửa đổi dữ liệu, hoặc thực hiện các hành động không mong muốn khác.

Hãy hình dung một cỗ máy mà bạn yêu cầu nó lắp ráp một sản phẩm từ các linh kiện. Nếu bạn không kiểm tra chất lượng từng linh kiện trước khi nó được đưa vào dây chuyền, một linh kiện lỗi có thể phá hủy toàn bộ sản phẩm. Trong trường hợp này, is_linking là linh kiện. Việc nó được đưa thẳng vào truy vấn mà không qua khâu kiểm duyệt intval() hay các phương pháp xác thực khác chính là nguyên nhân gốc rễ. Kết quả là, thay vì truy xuất dữ liệu một cách an toàn, kẻ tấn công có thể tiêm vào các lệnh như ' OR 1=1 -- để bypass xác thực, hoặc '; DROP TABLE users; -- để phá hủy dữ liệu, hoặc sử dụng các lệnh UNION SELECT để trích xuất thông tin nhạy cảm từ các bảng khác.

Tại Tadu Cloud, chúng tôi luôn nhấn mạnh rằng việc tin tưởng vào dữ liệu đầu vào từ người dùng là một trong những sai lầm lớn nhất mà một lập trình viên có thể mắc phải. Dù cho một tham số có vẻ vô hại, hay chỉ được sử dụng nội bộ, luôn có khả năng nó bị thao túng. Đây là lý do tại sao các nguyên tắc bảo mật như xác thực mạnh mẽ (robust validation), làm sạch dữ liệu (sanitization), và sử dụng Prepared Statements hoặc ORM (Object-Relational Mapping) với cơ chế bảo mật tích hợp là không thể thiếu.

Hậu Quả Và Tầm Quan Trọng Của Việc Phòng Ngừa

Mặc dù không có dấu hiệu cho thấy lỗ hổng này đã bị khai thác rộng rãi, sự tồn tại của nó là một minh chứng rõ ràng cho những rủi ro khi tin tưởng dữ liệu yêu cầu, ngay cả khi nó không nhằm mục đích kiểm soát trực tiếp bởi người dùng. Một cuộc tấn công SQL Injection thành công có thể dẫn đến:

• Truy cập dữ liệu nhạy cảm: Tên người dùng, mật khẩu (đã hash nhưng vẫn có thể bị brute-force), thông tin cá nhân của người dùng, dữ liệu tài chính.
• Sửa đổi hoặc xóa dữ liệu: Thay đổi nội dung bài đăng, xóa người dùng, thay đổi cài đặt website.
• Kiểm soát hoàn toàn cơ sở dữ liệu: Trong một số trường hợp, kẻ tấn công có thể leo thang đặc quyền để có quyền truy cập quản trị viên vào cơ sở dữ liệu hoặc thậm chí thực thi mã từ xa trên máy chủ.

Việc này không chỉ ảnh hưởng đến uy tín của website mà còn gây ra những thiệt hại lớn về tài chính và pháp lý, đặc biệt nếu website xử lý dữ liệu cá nhân theo các quy định như GDPR hay KVKK. Đối với các khách hàng của Tadu Cloud, chúng tôi luôn khuyến nghị việc thực hiện các bản cập nhật bảo mật định kỳ và duy trì một chính sách bảo mật đa lớp.

Bản Vá Được Phát Hành Sau Quy Trình Tiết Lộ Có Trách Nhiệm

May mắn thay, cộng đồng bảo mật đã phản ứng kịp thời. Trong một thông báo được công bố vào cuối tháng 1 năm 2026, Patchstack, một nền tảng bảo mật plugin WordPress uy tín, đã xác nhận rằng lỗ hổng đã được khắc phục hoàn toàn trong phiên bản Quiz and Survey Master 10.3.2. Bản cập nhật này giải quyết vấn đề bằng cách buộc tham số is_linking phải được chuyển đổi thành một số nguyên bằng hàm intval(). Điều này đảm bảo rằng chỉ các giá trị số mới được xử lý bởi truy vấn cơ sở dữ liệu, loại bỏ khả năng tiêm mã SQL.

Lỗ hổng này được phát hiện và báo cáo bởi Doan Dinh Van, một thành viên tận tâm của cộng đồng Patchstack Alliance. Patchstack đã nhận được báo cáo vào ngày 21 tháng 11 năm 2025 và ngay lập tức thông báo cho nhà cung cấp plugin. Bản phát hành có vá lỗi đã được ban hành vào ngày 4 tháng 12 năm 2025, và thông báo công khai được đưa ra vào cuối tháng 1 năm 2026. Đây là một ví dụ điển hình về quy trình tiết lộ có trách nhiệm (responsible disclosure) hiệu quả, giúp bảo vệ người dùng trước khi các mối đe dọa tiềm tàng có thể bị khai thác rộng rãi.

Từ góc độ của Tadu Cloud, quy trình này không chỉ thể hiện sự chuyên nghiệp của cộng đồng bảo mật mà còn là minh chứng cho tầm quan trọng của việc hợp tác giữa các nhà nghiên cứu bảo mật và nhà phát triển phần mềm. Việc kịp thời vá lỗi và thông báo rộng rãi là yếu tố then chốt để giảm thiểu rủi ro cho hàng chục nghìn website trên toàn cầu.

Bài Học Từ Incident: Tầm Quan Trọng Của Xác Thực Đầu Vào Và Prepared Statements

Sự cố này một lần nữa củng cố tầm quan trọng của việc xác thực đầu vào (input validation) và sử dụng các câu lệnh đã chuẩn bị (prepared statements) khi xử lý các truy vấn cơ sở dữ liệu trong các plugin và ứng dụng WordPress nói riêng, cũng như bất kỳ ứng dụng web nào nói chung. Đối với Tadu Cloud, đây không phải là những khái niệm mới mẻ, mà là những nguyên tắc vàng luôn được áp dụng trong mọi dịch vụ và giải pháp chúng tôi cung cấp.

Xác thực đầu vào là bước kiểm tra tất cả dữ liệu do người dùng cung cấp để đảm bảo rằng nó tuân thủ các định dạng, kiểu dữ liệu và giới hạn hợp lệ. Ví dụ, nếu bạn mong đợi một số nguyên, hãy đảm bảo rằng đầu vào thực sự là một số nguyên và nằm trong một phạm vi cụ thể. Điều này ngăn chặn việc dữ liệu độc hại được đưa vào hệ thống.

Prepared Statements là một tính năng mạnh mẽ của cơ sở dữ liệu giúp tách biệt mã SQL khỏi dữ liệu đầu vào. Khi sử dụng prepared statements, truy vấn SQL được định nghĩa trước với các placeholder cho dữ liệu. Dữ liệu sau đó được cung cấp riêng biệt và cơ sở dữ liệu sẽ xử lý nó một cách an toàn, mà không cho phép nó bị hiểu sai thành một phần của lệnh SQL. Điều này loại bỏ hoàn toàn khả năng tấn công SQL Injection.

Các nhà phát triển WordPress nên sử dụng các hàm và phương thức an toàn được cung cấp bởi WordPress API, như $wpdb->prepare(), để xây dựng truy vấn. Đối với các tham số cần là số nguyên, luôn sử dụng intval(). Đối với các chuỗi, hãy sử dụng sanitize_text_field() hoặc các hàm tương tự tùy thuộc vào ngữ cảnh. Đừng bao giờ tin tưởng vào bất kỳ đầu vào nào, dù là từ URL, form, hay API REST.

Tại Tadu Cloud, chúng tôi cung cấp các nền tảng hosting và dịch vụ quản lý cloud không chỉ tối ưu về hiệu suất mà còn đặt bảo mật lên hàng đầu. Chúng tôi liên tục cập nhật hệ thống, áp dụng các bản vá mới nhất và cung cấp các công cụ để khách hàng có thể dễ dàng theo dõi và bảo vệ website của mình. Sự cố QSM là một lời nhắc nhở rằng ngay cả một lỗ hổng nhỏ, nếu không được xử lý đúng cách, cũng có thể gây ra hậu quả lớn. Hãy luôn cảnh giác, luôn cập nhật và luôn ưu tiên bảo mật. An toàn dữ liệu của bạn chính là ưu tiên hàng đầu của Tadu Cloud.

Nguồn infosecurity-magazine.com