Một lỗ hổng CVE nghiêm trọng loại cross-site scripting (XSS) đã được công bố, ảnh hưởng đến cả Lectora Desktop và Lectora Online. Lỗ hổng này cho phép kẻ tấn công chèn JavaScript độc hại thông qua các tham số URL được chế tạo, gây ra rủi ro nghiêm trọng về an toàn thông tin.

Tổng quan về Lỗ hổng CVE: Cross-Site Scripting trong Lectora

Lỗ hổng này được nhà nghiên cứu bảo mật Mohammad Jassim phát hiện và được CERT® Coordination Center ghi nhận vào ngày 22 tháng 9 năm 2025. Đây là một XSS vulnerability có khả năng dẫn đến thực thi mã phía client, chiếm đoạt phiên (session hijacking) và chuyển hướng người dùng đến các trang độc hại nếu được khai thác trên các khóa học chưa được vá lỗi.

Thông tin Phát hiện và Phiên bản Ảnh hưởng

Điểm yếu XSS này đặc biệt tồn tại trong các khóa học được xuất bản với tính năng Seamless Play Publish (SPP) được bật và Web Accessibility bị tắt.

• Lectora Desktop: Các phiên bản từ 21.0 đến 21.3 (bao gồm Inspire và Publisher) bị ảnh hưởng bởi lỗ hổng CVE này.
• Lectora Online: Các phiên bản cho đến 7.1.6 cũng chịu ảnh hưởng nghiêm trọng.

Mặc dù Lectora Desktop 21.4 đã được phát hành vào ngày 25 tháng 10 năm 2022 để khắc phục sự cố, nhưng các ghi chú cập nhật đã không hướng dẫn rõ ràng người dùng cần phải tái xuất bản (republish) các khóa học hiện có. Đối với người dùng Lectora Online, bản sửa lỗi đã được tự động áp dụng khi phiên bản 7.1.7 ra mắt vào ngày 20 tháng 7 năm 2025.

Cơ chế Khai thác và Rủi ro Bảo Mật

Việc tái xuất bản các khóa học là yếu tố then chốt vì các nội dung được tạo hoặc xuất bản trước khi áp dụng bản vá lỗi vẫn tiếp tục chứa lỗ hổng CVE. Nhiều khách hàng lớn, bao gồm các cơ quan chính phủ và doanh nghiệp lớn, có thể vô tình khiến người dùng của họ gặp rủi ro bảo mật nghiêm trọng nếu họ chưa tái xuất bản nội dung cũ, đặc biệt là các khóa học đào tạo nhạy cảm.

Điều kiện Khai thác Lỗ hổng XSS

Lỗ hổng này xảy ra khi kẻ tấn công chèn mã JavaScript độc hại vào một tham số URL của khóa học. Khi người dùng truy cập URL này, trình duyệt của họ sẽ thực thi mã độc, vì khóa học được cấu hình để chấp nhận các script bên ngoài mà không có đủ cơ chế kiểm soát.

Các điều kiện cụ thể để lỗ hổng XSS này bị khai thác bao gồm:

• Khóa học được xuất bản với Seamless Play Publish (SPP) được bật.
• Tính năng Web Accessibility bị tắt.
• Người dùng truy cập một URL có tham số bị tiêm nhiễm mã độc.

Kịch bản Tấn công và Hậu quả Nghiêm trọng

Khi bị khai thác, lỗ hổng CVE này có thể kích hoạt thực thi script phía client tùy ý trong ngữ cảnh trình duyệt của người dùng. Kẻ tấn công có thể tạo một URL độc hại mà khi người tham gia khóa học nhấp vào, mã độc sẽ chạy, có khả năng thực hiện các hành vi nguy hiểm như:

• Chiếm đoạt cookie phiên (session hijacking): Cho phép kẻ tấn công mạo danh người dùng hợp lệ.
• Chuyển hướng người dùng: Đưa người dùng đến một trang lừa đảo (phishing page) để thu thập thông tin đăng nhập hoặc phát tán mã độc.
• Thay đổi nội dung trang web: Hiển thị thông tin sai lệch hoặc chèn các phần tử độc hại vào khóa học.

Do nhiều tổ chức dựa vào Lectora cho các mô-đun đào tạo và tuân thủ, việc khai thác thành công lỗ hổng CVE này có thể dẫn đến việc lộ thông tin đăng nhập quan trọng hoặc truy cập trái phép vào dữ liệu đào tạo nhạy cảm. Điều này đặt ra một thách thức lớn về an toàn thông tin cho các doanh nghiệp và cơ quan chính phủ.

Biện pháp Khắc phục và Cập nhật Bản Vá

Để khắc phục hoàn toàn lỗ hổng CVE nghiêm trọng này và tăng cường bảo mật thông tin, quản trị viên hệ thống cần thực hiện các bước cụ thể và kịp thời. Chỉ đơn thuần cài đặt bản cập nhật phần mềm không đủ để loại bỏ XSS vulnerability khỏi các khóa học đã tồn tại.

Yêu cầu Tái xuất bản Khóa học

Yêu cầu chính để đảm bảo an toàn là cập nhật bản vá và tái xuất bản các khóa học:

• Lectora Desktop: Cập nhật lên phiên bản 21.4 hoặc mới hơn. Sau đó, bắt buộc phải tái xuất bản tất cả các khóa học đã tạo hoặc xuất bản trước khi cập nhật. Thao tác này sẽ đảm bảo rằng mã đã vá lỗi được áp dụng cho nội dung khóa học.
• Lectora Online: Bản sửa lỗi đã được áp dụng tự động trong phiên bản 7.1.7. Tuy nhiên, quản trị viên nên kiểm tra để xác nhận rằng tất cả các khóa học đều đang chạy trên phiên bản này hoặc cao hơn.

Hướng dẫn Chi tiết cho Quản trị viên

Các bước sau đây là cần thiết để bảo vệ hệ thống và người dùng khỏi lỗ hổng CVE này và củng cố an ninh mạng:

1. Kiểm tra phiên bản Lectora: Xác định phiên bản Lectora Desktop hoặc Online đang được sử dụng. Đảm bảo rằng cập nhật bản vá mới nhất đã được triển khai.
2. Cập nhật phần mềm: Nâng cấp Lectora Desktop lên phiên bản 21.4 trở lên. Đối với Lectora Online, xác minh rằng hệ thống đã tự động cập nhật lên 7.1.7 trở lên.
3. Tái xuất bản khóa học: Đây là bước quan trọng nhất. Tất cả các khóa học được xuất bản trước khi áp dụng bản vá lỗi phải được tái xuất bản để loại bỏ lỗ hổng XSS.
4. Kiểm tra cấu hình: Đảm bảo các khóa học được xuất bản với tính năng Seamless Play Publish (SPP) được bật và Web Accessibility tắt, vì đây là điều kiện để XSS vulnerability tồn tại. Sau khi vá lỗi, cần đánh giá lại liệu các cấu hình này có còn cần thiết hay không.
5. Giám sát và Đào tạo người dùng: Thực hiện giám sát liên tục các liên kết được chia sẻ và đào tạo người dùng về các mối đe dọa lừa đảo (phishing) và cách nhận diện URL độc hại. Điều này giúp ngăn chặn các cuộc tấn công mạng dựa trên social engineering.

Tăng cường An Toàn Thông Tin trước Mối Đe Dọa XSS

Việc xử lý lỗ hổng CVE này không chỉ dừng lại ở việc cập nhật bản vá phần mềm. Nó cũng nhấn mạnh tầm quan trọng của các biện pháp bảo mật toàn diện để đối phó với các mối đe dọa mạng. Để giảm thiểu rủi ro từ các tấn công mạng tương tự, các tổ chức nên:

• Thực hiện kiểm tra bảo mật định kỳ: Bao gồm quét lỗ hổng và kiểm tra thâm nhập (penetration testing) trên tất cả các ứng dụng web và hệ thống nội bộ để phát hiện các lỗ hổng zero-day hoặc XSS tiềm ẩn.
• Triển khai Web Application Firewall (WAF): Một WAF có thể giúp phát hiện và ngăn chặn các cuộc tấn công XSS và các loại tấn công mạng dựa trên web khác trước khi chúng chạm tới ứng dụng.
• Tuân thủ nguyên tắc “Least Privilege”: Giới hạn quyền truy cập của người dùng và ứng dụng ở mức tối thiểu cần thiết để giảm thiểu tác động của một vụ xâm nhập.
• Thực hiện Hardening hệ thống: Cấu hình hệ thống và ứng dụng một cách an toàn nhất có thể, loại bỏ các tính năng không cần thiết và dịch vụ không sử dụng.
• Áp dụng Chu trình Phát triển An toàn (Secure Development Lifecycle – SDL): Tích hợp các biện pháp bảo mật vào mọi giai đoạn của quá trình phát triển phần mềm để ngăn chặn sự xuất hiện của các lỗ hổng bảo mật ngay từ đầu.

Bằng cách tuân thủ các hướng dẫn cập nhật bản vá và các biện pháp bảo mật tốt nhất, các tổ chức có thể bảo vệ hiệu quả hơn các hệ thống của mình trước các mối đe dọa mạng và đảm bảo an toàn thông tin cho dữ liệu và người dùng.