CKFinder là một thư viện mã nguồn có chức năng giúp người dùng quản lý tập tin / thư mục trên server. Với CKFinder sẽ hỗ trợ các thao tác cơ bản như upload, download, xoá, đổi tên tập tin / thư mục từ server. Và CKFinder được các nhà phát triển web sử dụng rất nhiều để tích hợp vào hệ thống của mình cho chức năng quản lý tập tin / thư mục.
Sẽ không có gì xảy ra nếu mọi thứ đề được cấu hình đúng. Tuy nhiên vì một số lý do gì đó nếu CKFinder không được cấu hình đúng thì sẽ có vấn đề xảy ra. Vấn đề sẽ là thay vì chỉ khi có quyền admin mới truy cập và sử dụng được vào các tính năng của CKFinder thì người dùng bình thường nếu truy cập đúng vào trang quản lý của CKFinder thì vẫn có thể sử dụng tất cả các tính năng của CKFinder.
Mình đã thử khai thác thì phát hiện ra rất nhiều website đang gặp phải lỗi này. Đáng chú ý trong đó có cả những website .gov.vn từ trung ương đến địa phương. Lỗ hổng này đã và đang bị các đối tượng khai thác để upload phát tán tài liệu quảng cáo cho các hoạt động bất hợp pháp.
Nếu hệ thống của bạn đang được tích hợp CKFinder thì nên kiểm tra lại là xét đúng quyền chưa. Hãy thử truy cập vào trang quản lý của CKFinder với tư cách người dùng bình thường để kiểm tra.
Huỳnh Mai Anh Kiệt
