Cloudflare Blog
85

Sản phẩm

Cloudflare cập nhật WAF bảo vệ WordPress trước hai lỗ hổng bảo mật nghiêm trọng

(giờ Việt Nam)

Tóm tắt AI

Cloudflare vừa triển khai hai quy tắc WAF mới nhằm ngăn chặn các lỗ hổng bảo mật nghiêm trọng trên WordPress. Dù đã được bảo vệ, người dùng vẫn nên cập nhật phiên bản WordPress mới nhất để đảm bảo an toàn tuyệt đối.

Bản dịch AI

Cloudflare WAF protects WordPress applications from two high-severity vulnerabilities

Cloudflare đã triển khai các biện pháp bảo vệ mới cho Web Application Firewall (WAF) đối với hai lỗ hổng nghiêm trọng ảnh hưởng đến WordPress. Các biện pháp bảo vệ này giải quyết lỗ hổng Thực thi mã từ xa không xác thực (Unauthenticated Remote Code Execution - RCE) trong REST API của WordPress và một lỗ hổng SQL Injection liên quan.

Nhóm bảo mật của WordPress đã tiết lộ các lỗ hổng này cho Cloudflare trước khi công bố công khai để chúng tôi có thể chuẩn bị các biện pháp bảo vệ cho khách hàng. Cloudflare đã triển khai các quy tắc mới để bảo vệ tất cả khách hàng, bao gồm cả những người dùng gói miễn phí và trả phí, miễn là lưu lượng truy cập ứng dụng của họ được proxy thông qua Cloudflare WAF. Các quy tắc này đã được triển khai vào lúc 17:03 UTC ngày 17 tháng 7 năm 2026.

Các biện pháp bảo vệ WAF giúp giảm thiểu rủi ro trong khi khách hàng thực hiện cập nhật, nhưng chúng không thay thế cho việc vá lỗi. WordPress đã phát hành các bản sửa lỗi trong phiên bản 7.0.2, cùng với các bản backport cho các nhánh cũ hơn bị ảnh hưởng: 6.9.5, 6.8.6 và 7.1 Beta 2. Các phiên bản cũ hơn 6.8 không bị ảnh hưởng. WordPress coi đây là vấn đề có mức độ nghiêm trọng và ưu tiên cao nhất, đồng thời đang buộc cập nhật tự động cho các trang web bị ảnh hưởng, vì vậy hầu hết các trang web sẽ được cập nhật tự động. Chúng tôi vẫn khuyến nghị bạn xác nhận rằng mình đang sử dụng bản phát hành đã vá lỗi hoặc các bản backport cho nhánh của mình và tuân theo hướng dẫn trong thông báo phát hành bảo mật chính thức của WordPress.

Những điều bạn cần biết

Các lỗ hổng ảnh hưởng đến các phần khác nhau của đường dẫn yêu cầu (request path):

Lỗ hổng SQL injection xuất hiện từ phiên bản 6.8 trở đi, trong khi RCE chỉ ảnh hưởng đến các phiên bản từ 6.9. Do đó, bản 6.8.6 chỉ giải quyết lỗi SQLi vì RCE không tồn tại trên bản 6.8, trong khi các bản 6.9.5, 7.0.2 và 7.1 Beta 2 nhận được bản sửa lỗi cho cả hai.

Cloudflare đã tạo hai quy tắc để phát hiện các yêu cầu liên quan đến những lỗ hổng này:

Mô tả quy tắc

ID quy tắc cho Managed Ruleset

ID quy tắc cho Free Ruleset

Hành động mặc định

WordPress - SQLi trong WP_Query

1c060d3a371549219ee290d7ed933fcc

db003b39b7774859a8d588ce33697a1a

Chặn (Block)

WordPress - RCE không xác thực

7dfb2bd4708d4b88b9911dc0550664b6

ebd3f2df15c74ddcbf6220c9b5ec246a

Chặn (Block)

Khách hàng Cloudflare đang vận hành các trang web WordPress trên các gói Pro, Business hoặc Enterprise nên đảm bảo rằng Cloudflare Managed Rules đã được bật. Khách hàng có thể làm theo các bước trong tài liệu WAF Managed Rules của chúng tôi. Khách hàng sử dụng gói miễn phí sẽ được bảo vệ tự động thông qua Free Ruleset.

Các quy tắc mới được triển khai với hành động mặc định của Managed Ruleset là Chặn (Block). Khách hàng vận hành các trang web WordPress nên xem xét bất kỳ ghi đè (override) nào ở cấp độ ruleset, bao gồm cả những ghi đè thay đổi tất cả các quy tắc từ Chặn sang Ghi nhật ký (Log), và đảm bảo các quy tắc mới sử dụng hành động được khuyến nghị trong khi họ cập nhật WordPress. Khách hàng Cloudflare cũng nên theo dõi Security Events để phát hiện các yêu cầu khớp với một trong hai quy tắc này.

Phòng thủ theo chiều sâu trong khi bạn thực hiện vá lỗi

Quy tắc SQL injection phát hiện các giá trị tham số được tạo sẵn trước khi chúng đến được WordPress. Quy tắc RCE không xác thực nhắm mục tiêu vào các yêu cầu cố gắng truy cập vào đường dẫn thực thi mã từ xa. Cùng với nhau, chúng phát hiện cuộc tấn công tại hai điểm khác nhau.

Các quy tắc này giúp giảm thiểu rủi ro trong khi các tổ chức cập nhật các hệ thống bị ảnh hưởng; chúng không sửa mã nguồn bị lỗi. Việc cập nhật WordPress vẫn là cách hiệu quả nhất để giải quyết các lỗ hổng này.

Nếu không thể cập nhật ngay lập tức, hãy xác minh rằng cả hai quy tắc của Cloudflare đều đang hoạt động với hành động được khuyến nghị và xem xét nhật ký để tìm các yêu cầu đáng ngờ gửi đến endpoint REST API bị ảnh hưởng.

Hướng tới tương lai

Cloudflare sẽ giám sát lưu lượng truy cập khớp với các quy tắc và kiểm tra chúng trước các biến thể tấn công mới, đồng thời cập nhật các phương thức phát hiện khi cần thiết. Chúng tôi cảm ơn nhóm bảo mật của WordPress vì đã phối hợp với Cloudflare và các nhà cung cấp cơ sở hạ tầng khác để giúp bảo vệ người dùng trước khi thông tin chi tiết về các lỗ hổng được công khai.

Bảo mậtCloudflareWordPressWAFLỗ hổng
Đọc bài gốc

Bài viết được AI dịch và tổng hợp tự động từ Cloudflare Blog. Liên kết bài gốc ở phía trên. AIHOT.vn luôn dẫn nguồn đầy đủ — nếu bạn thấy điểm cần chỉnh sửa, hãy gửi ý kiến tại trang phản hồi.