404 Not Found
Writer
Một lỗ hổng bảo mật cực kỳ nguy hiểm vừa được phát hiện trong Happy DOM – một thư viện lập trình phổ biến dùng trong nhiều ứng dụng web và công cụ kiểm thử. Lỗi này cho phép kẻ tấn công từ xa chạy mã độc trên máy chủ, có khả năng chiếm quyền điều khiển hệ thống. Theo thống kê, hơn 2,7 triệu người dùng trên toàn thế giới có thể đã bị ảnh hưởng.
Lỗ hổng được định danh là CVE-2025-61927, ảnh hưởng đến các phiên bản Happy DOM 19 trở về trước. Nó xuất phát từ một sai sót trong cơ chế bảo vệ, vốn được thiết kế để giữ cho mã JavaScript chạy trong vùng an toàn. Tuy nhiên, kẻ tấn công có thể lợi dụng lỗ hổng này để “thoát” ra khỏi lớp bảo vệ đó, truy cập vào hệ thống thật và thực thi các lệnh tùy ý.
Theo nhà nghiên cứu bảo mật Mas0nShi, CVE-2025-61927 này nghiêm trọng đến mức được chấm điểm tuyệt đối CVSS 10.0, mức cảnh báo cao nhất trong thang đo lỗ hổng. Nếu bị khai thác, hacker có thể lấy cắp thông tin nhạy cảm, chỉnh sửa dữ liệu, cài mã độc hoặc duy trì quyền truy cập lâu dài trên máy chủ nạn nhân.
Các hệ thống có nguy cơ cao nhất là những ứng dụng xử lý dữ liệu do người dùng gửi lên, chẳng hạn công cụ kiểm thử web hoặc trang web dùng kỹ thuật kết xuất phía máy chủ. Chỉ cần một đoạn mã JavaScript được chèn vào, toàn bộ máy chủ có thể bị xâm nhập.
Trước mức độ nguy hiểm này, nhà phát triển Ortner IT Solutions AB – đơn vị duy trì Happy DOM, đã tung ra phiên bản 20 để khắc phục. Bản vá đã tắt mặc định tính năng cho phép chạy mã JavaScript động và thêm cảnh báo khi người dùng bật các thiết lập có rủi ro. Các tổ chức hoặc lập trình viên đang dùng phiên bản cũ được khuyến nghị nâng cấp ngay.
Trong trường hợp chưa thể cập nhật, chuyên gia khuyến cáo kích hoạt chế độ bảo vệ trong Node.js để ngăn mã độc thực thi, hoặc giới hạn nội dung do người dùng nhập vào. Việc trì hoãn bản vá có thể khiến ứng dụng trở thành mục tiêu tấn công trong thời gian rất ngắn.
Sự cố lần này là lời nhắc mạnh mẽ rằng ngay cả những thư viện phổ biến, được tin tưởng trong cộng đồng lập trình, cũng có thể trở thành điểm yếu nếu không được cập nhật kịp thời. Trong thế giới công nghệ, chỉ một lỗ hổng nhỏ cũng đủ mở ra cánh cửa lớn cho các cuộc tấn công.
Lỗ hổng được định danh là CVE-2025-61927, ảnh hưởng đến các phiên bản Happy DOM 19 trở về trước. Nó xuất phát từ một sai sót trong cơ chế bảo vệ, vốn được thiết kế để giữ cho mã JavaScript chạy trong vùng an toàn. Tuy nhiên, kẻ tấn công có thể lợi dụng lỗ hổng này để “thoát” ra khỏi lớp bảo vệ đó, truy cập vào hệ thống thật và thực thi các lệnh tùy ý.
Theo nhà nghiên cứu bảo mật Mas0nShi, CVE-2025-61927 này nghiêm trọng đến mức được chấm điểm tuyệt đối CVSS 10.0, mức cảnh báo cao nhất trong thang đo lỗ hổng. Nếu bị khai thác, hacker có thể lấy cắp thông tin nhạy cảm, chỉnh sửa dữ liệu, cài mã độc hoặc duy trì quyền truy cập lâu dài trên máy chủ nạn nhân.
Các hệ thống có nguy cơ cao nhất là những ứng dụng xử lý dữ liệu do người dùng gửi lên, chẳng hạn công cụ kiểm thử web hoặc trang web dùng kỹ thuật kết xuất phía máy chủ. Chỉ cần một đoạn mã JavaScript được chèn vào, toàn bộ máy chủ có thể bị xâm nhập.
Trước mức độ nguy hiểm này, nhà phát triển Ortner IT Solutions AB – đơn vị duy trì Happy DOM, đã tung ra phiên bản 20 để khắc phục. Bản vá đã tắt mặc định tính năng cho phép chạy mã JavaScript động và thêm cảnh báo khi người dùng bật các thiết lập có rủi ro. Các tổ chức hoặc lập trình viên đang dùng phiên bản cũ được khuyến nghị nâng cấp ngay.
Trong trường hợp chưa thể cập nhật, chuyên gia khuyến cáo kích hoạt chế độ bảo vệ trong Node.js để ngăn mã độc thực thi, hoặc giới hạn nội dung do người dùng nhập vào. Việc trì hoãn bản vá có thể khiến ứng dụng trở thành mục tiêu tấn công trong thời gian rất ngắn.
Sự cố lần này là lời nhắc mạnh mẽ rằng ngay cả những thư viện phổ biến, được tin tưởng trong cộng đồng lập trình, cũng có thể trở thành điểm yếu nếu không được cập nhật kịp thời. Trong thế giới công nghệ, chỉ một lỗ hổng nhỏ cũng đủ mở ra cánh cửa lớn cho các cuộc tấn công.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
