Joomla Project vừa phát đi cảnh báo về hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến hệ thống quản lý CMS và các gói database đi kèm, bao gồm lỗ hổng SQL Injection CVE-2025-25226 (CVSS: 9.8) và lỗ hổng cho phép kẻ tấn công bypass tính năng xác thực đa yếu tố MFA CVE-2025-25227 (CVSS: 7.5)
Lỗ hổng SQL Injection CVE-2025-25226 phát sinh do xử lý không đúng các định danh trong phương thức quoteNameStr thuộc Database. Dù phương thức này được đánh dấu là protected và không được sử dụng trong các gói cài đặt chuẩn, nhưng có thể bị khai thác để thực hiện tấn công SQL injection nếu được sử dụng trong các class mở rộng hoặc trong mã tùy chỉnh. Tuy nhiên nếu người dùng chỉ sử dụng hệ thống Joomla mặc định, khả năng bị khai thác là rất thấp.
Lỗ hổng thứ hai CVE-2025-25227 cho phép kẻ tấn công vượt qua lớp xác thực MFA do thiếu kiểm tra trạng thái xác thực. Việc khai thác thành công có thể mở ra quyền truy cập trái phép vào hệ thống, bao gồm tài khoản quản trị và dữ liệu nhạy cảm, ảnh hưởng đến Joomla CMS từ phiên bản 1.0.0 đến 3.3.1.
Joomla đã phát hành bản vá và khuyến cáo quản trị viên thực hiện cập nhật ngay lập tức:
- Nâng cấp Database lên bản 2.2.0 hoặc 3.4.0 (đối với CVE-2025-25226)
- Nâng cấp Joomla CMS lên bản 4.4.13 hoặc 5.2.6 (đối với CVE-2025-25227)
Việc chậm trễ trong xử lý các lỗ hổng này có thể khiến hệ thống trở thành mục tiêu của các cuộc tấn công mạng, dẫn đến mất dữ liệu, gián đoạn hoạt động hoặc tổn thất nghiêm trọng về tài sản và uy tín.
