Trình soạn thảo văn bản Lite XL, được phát triển bằng Lua và C cho các nền tảng Windows, Linux, và macOS, đã được phát hiện chứa một lỗ hổng CVE nghiêm trọng. Lỗ hổng này có khả năng dẫn đến thực thi mã tùy ý (arbitrary code execution). Các nhà nghiên cứu bảo mật đã xác định các sai sót trong cách trình soạn thảo xử lý các tệp cấu hình dự án, tiềm ẩn nguy cơ phơi nhiễm người dùng với mã độc khi mở các dự án không đáng tin cậy.

Tổng quan về Lỗ hổng trong Lite XL

Lite XL được thiết kế để mở rộng thông qua các plugin và module dành riêng cho dự án, khiến nó trở thành lựa chọn phổ biến cho các nhà phát triển mong muốn một môi trường chỉnh sửa tùy chỉnh và linh hoạt. Tuy nhiên, chính sự linh hoạt này đã tạo ra một rủi ro bảo mật đáng kể.

Hai lỗ hổng mới được công bố đã ảnh hưởng đến các phiên bản Lite XL 2.1.8 và cũ hơn. Đây là các lỗ hổng có mức độ nghiêm trọng cao, yêu cầu sự chú ý ngay lập tức từ cộng đồng người dùng và nhà phát triển.

Bản chất Kỹ thuật của Lỗ hổng CVE-2025-12120

Cơ chế Tự động Thực thi Mã

Lỗ hổng bảo mật chính, được theo dõi là CVE-2025-12120, xuất phát từ hành vi tự động thực thi các tệp .lite_project.lua của Lite XL mà không yêu cầu bất kỳ xác nhận nào từ người dùng. Khi người dùng mở một thư mục dự án, Lite XL sẽ tự động tải và thực thi module cấu hình Lua của dự án đó.

Hành vi này, mặc dù được thiết kế để phục vụ mục đích cấu hình dự án hợp pháp, lại vô tình tạo ra một vector tấn công nguy hiểm cho các đối tượng độc hại. Sự thiếu vắng cơ chế xác minh đã biến tính năng tiện lợi này thành một điểm yếu nghiêm trọng.

Cơ chế Khai thác Lỗ hổng CVE

Kẻ tấn công có thể dễ dàng tạo ra một dự án độc hại. Dự án này sẽ chứa một tệp .lite_project.lua được thiết kế đặc biệt, bên trong chứa mã Lua có thể thực thi.

Khi một người dùng không nghi ngờ mở dự án này trong Lite XL, mã độc sẽ tự động thực thi. Mã này sẽ chạy với các quyền tương tự như tiến trình Lite XL đang hoạt động.

Tác động và Hệ lụy của việc Chiếm quyền Điều khiển

Việc thực thi mã độc với đặc quyền của trình soạn thảo có thể cho phép kẻ tấn công chiếm quyền điều khiển và truy cập trái phép vào các tài nguyên hệ thống. Điều này bao gồm khả năng đánh cắp dữ liệu nhạy cảm hoặc xâm phạm hoàn toàn môi trường phát triển của người dùng.

Lỗ hổng này đặc biệt đáng lo ngại vì người dùng thường sao chép các kho lưu trữ (repositories) từ các nguồn mà họ tin tưởng. Họ cũng có thể tải xuống các tệp lưu trữ dự án từ các nền tảng cộng tác mà không nhận ra mối đe dọa tiềm ẩn từ mã Lua được nhúng.

Việc thực thi tự động, liền mạch của mã độc đồng nghĩa với việc người dùng không nhận được bất kỳ cảnh báo nào hoặc cơ hội xem xét mã trước khi nó chạy. Điều này làm tăng đáng kể rủi ro bị xâm nhập một cách âm thầm.

Rủi ro Bảo mật và Mở rộng Tấn công

Hệ lụy bảo mật là rất lớn đối với các nhà phát triển thường xuyên làm việc với nhiều dự án từ các nguồn khác nhau. Kẻ tấn công có thể tận dụng lỗ hổng CVE này để thiết lập quyền truy cập bền vững vào hệ thống.

• Đánh cắp dữ liệu: Exfiltrate mã nguồn hoặc thông tin xác thực nhạy cảm.
• Chèn backdoor: Chèn backdoor vào các dự án đang được phát triển.
• Tấn công chuỗi cung ứng: Phát động các cuộc tấn công chuỗi cung ứng bằng cách xâm phạm máy tính của nhà phát triển.

Rủi ro này càng tăng lên đáng kể trong các môi trường làm việc nhóm, nơi các nhà phát triển cộng tác trên các dự án được lấy từ nhiều kho lưu trữ khác nhau. Một máy tính bị xâm nhập có thể trở thành điểm khởi đầu cho một cuộc tấn công rộng hơn trong tổ chức.

Các Bản vá và Biện pháp Khắc phục Lỗ hổng

Giải pháp từ Nhóm Phát triển Lite XL

Nhóm phát triển Lite XL đã nhanh chóng giải quyết các lỗ hổng CVE này thông qua việc triển khai hai pull request quan trọng. Những cập nhật này nhằm mục đích tăng cường bảo mật và hạn chế khả năng khai thác.

• PR #1472: Triển khai một cơ chế bảo vệ lòng tin (trust guard mechanism) cho các module dự án. Điều này ngăn chặn các dự án không đáng tin cậy tự động thực thi mã Lua.
• PR #1473: Loại bỏ chức năng exec cũ gây ra các rủi ro bảo mật bổ sung.

Những bản sửa lỗi này đảm bảo rằng các dự án không thể thực thi mã nếu không có sự ủy quyền rõ ràng từ người dùng. Điều này khôi phục quyền kiểm soát và khả năng ra quyết định cho người dùng trước khi bất kỳ mã nào được chạy.

Khuyến nghị Cập nhật Bản vá

Người dùng được khuyến nghị mạnh mẽ cập nhật bản vá lên phiên bản Lite XL mới nhất ngay lập tức để bảo vệ hệ thống của mình khỏi nguy cơ bị khai thác. Phiên bản cập nhật giới thiệu các lời nhắc bảo mật mới.

Những lời nhắc này yêu cầu người dùng phê duyệt việc thực thi module dự án trước khi mã chạy. Lớp xác nhận người dùng bổ sung này đóng vai trò quan trọng trong việc ngăn chặn việc thực thi mã độc hại một cách vô tình, giảm thiểu rủi ro bảo mật.

Các nhà phát triển sử dụng Lite XL nên ưu tiên cập nhật lên phiên bản đã được vá và cực kỳ thận trọng khi mở các dự án từ các nguồn không đáng tin cậy cho đến khi bản cập nhật được triển khai trên toàn bộ môi trường phát triển của họ.

Công bố và Ghi nhận Lỗ hổng

Lỗ hổng này đã được nhà nghiên cứu bảo mật Dogus Demirkiran báo cáo. Đồng thời, nó cũng được người dùng GitHub Summertime độc lập xác định. Quá trình công bố hợp tác này nhấn mạnh tầm quan trọng của việc báo cáo lỗ hổng một cách có trách nhiệm trong việc bảo vệ cộng đồng nhà phát triển. Thông tin chi tiết có thể được tìm thấy trên CERT/CC Vulnerability Note VU#579478.