WooCommerce vá lỗi bảo mật nghiêm trọng, khuyến cáo cập nhật khẩn lên phiên bản 10.4.3
WooCommerce – nền tảng thương mại điện tử phổ biến nhất thế giới dành cho WordPress – vừa thông báo đã vá thành công một lỗ hổng bảo mật tồn tại trong Store API, có khả năng khiến dữ liệu đơn hàng của khách mua không đăng ký tài khoản (guest checkout) bị lộ cho người dùng đã đăng nhập. Dù hiện chưa ghi nhận bất kỳ trường hợp khai thác thực tế nào, WooCommerce vẫn khuyến cáo các cửa hàng đang sử dụng phiên bản từ 8.1 trở lên cần cập nhật ngay lên phiên bản mới nhất 10.4.3 để đảm bảo an toàn.
Theo thông báo chính thức từ đội ngũ Woo, lỗ hổng này được phát hiện và báo cáo bởi một nhà nghiên cứu bảo mật độc lập. Ngay sau khi tiếp nhận thông tin, WooCommerce đã nhanh chóng phát triển và triển khai bản vá cho toàn bộ các phiên bản bị ảnh hưởng, kéo dài từ WooCommerce 8.1 đến 10.4.2. Tổng cộng có 23 phiên bản đã được cập nhật nhằm khắc phục triệt để vấn đề mà không làm gián đoạn hoạt động của các cửa hàng.
Lỗ hổng tồn tại âm thầm trong gần hai năm
Kết quả điều tra nội bộ của WooCommerce cho thấy lỗ hổng này đã tồn tại trong khoảng hai năm nhưng không có dấu hiệu bị khai thác trong thực tế. Nguyên nhân một phần đến từ việc việc khai thác yêu cầu điều kiện rất đặc thù. Cụ thể, người tấn công phải là khách hàng đã đăng ký tài khoản trên cửa hàng và đang đăng nhập, đồng thời phải biết chính xác một endpoint API rất hẹp trong Store API. Điều này khiến lỗ hổng gần như không thể bị phát hiện một cách ngẫu nhiên.
Ngoài ra, phạm vi ảnh hưởng của lỗ hổng cũng bị giới hạn. Nếu bị khai thác, kẻ tấn công chỉ có thể xem thông tin đơn hàng của các khách mua với tư cách “guest”, tức là không tạo tài khoản khi thanh toán. Dữ liệu của khách hàng đã đăng ký tài khoản không bị ảnh hưởng.
Dữ liệu nào có thể bị lộ?
WooCommerce cho biết, trong kịch bản xấu nhất, lỗ hổng này có thể khiến một số thông tin cá nhân trong đơn hàng của khách mua không đăng ký tài khoản bị hiển thị, bao gồm họ tên, địa chỉ email, số điện thoại, địa chỉ giao hàng và thanh toán, loại phương thức thanh toán đã sử dụng và danh sách sản phẩm đã mua. Tuy nhiên, các dữ liệu nhạy cảm như thông tin thẻ tín dụng, tài khoản ngân hàng hoặc chi tiết tài chính khác không nằm trong phạm vi có thể bị lộ.
Việc WooCommerce chủ động công bố chi tiết về phạm vi ảnh hưởng được đánh giá là một bước đi minh bạch, giúp các chủ cửa hàng và cộng đồng người dùng có cái nhìn rõ ràng hơn về mức độ rủi ro, tránh tâm lý hoang mang không cần thiết.
Khuyến cáo dành cho chủ cửa hàng
Dù chưa ghi nhận trường hợp bị khai thác, WooCommerce vẫn nhấn mạnh rằng việc cập nhật là cần thiết và nên được thực hiện sớm nhất có thể. Các chủ cửa hàng có thể kiểm tra và cập nhật WooCommerce trực tiếp trong khu vực quản trị WordPress bằng cách truy cập Dashboard → Updates, chọn WooCommerce và tiến hành cập nhật nếu hệ thống hiển thị tùy chọn “Update now”. Nếu cửa hàng đang chạy phiên bản 10.4.3, không cần thực hiện thêm thao tác nào.
Đối với các cửa hàng đã bật tính năng cập nhật tự động, hoặc đang được lưu trữ trên hạ tầng của Automattic như WordPress.com, Pressable, WordPress VIP hay các nhà cung cấp sử dụng WP Cloud, bản vá nhiều khả năng đã được áp dụng sẵn.
Lời nhắc về an ninh thương mại điện tử
Sự việc lần này một lần nữa cho thấy tầm quan trọng của việc cập nhật phần mềm định kỳ trong lĩnh vực thương mại điện tử. Ngay cả những nền tảng lớn, có cộng đồng và đội ngũ phát triển mạnh như WooCommerce, vẫn có thể tồn tại lỗ hổng trong thời gian dài nếu không được phát hiện. Việc duy trì phiên bản mới nhất không chỉ giúp bổ sung tính năng mà còn là lớp phòng thủ quan trọng trước các rủi ro bảo mật ngày càng tinh vi.
WooCommerce khẳng định sẽ tiếp tục theo dõi chặt chẽ tình hình và khuyến khích người dùng liên hệ với đội ngũ Woo Happiness nếu có bất kỳ thắc mắc hay lo ngại nào liên quan đến vấn đề này. Trong bối cảnh thương mại điện tử phụ thuộc ngày càng nhiều vào niềm tin của người tiêu dùng, những động thái chủ động và minh bạch như vậy được xem là yếu tố then chốt để duy trì sự ổn định và an toàn cho hệ sinh thái WordPress.
