Lỗ hổng trong phần mềm hội nghị Pretalx cho phép kẻ tấn công thao túng tỷ lệ chấp nhận bài phát biểu
Các nhà nghiên cứu Novee Security phát hiện lỗ hổng XSS nghiêm trọng trong Pretalx, nền tảng quản lý hội nghị mã nguồn mở phổ biến. Lỗi này cho phép kẻ tấn công chiếm quyền tài khoản của người tổ chức và có thể dẫn đến việc chấp nhận bài phát biểu 100% thông qua việc khai thác tính năng tìm kiếm.
Các nhà nghiên cứu bảo mật tại Novee Security vừa công bố một lỗ hổng mức độ nghiêm trọng cao trong Pretalx, một nền tảng mã nguồn mở được sử dụng rộng rãi để quản lý quy trình kêu gọi bài báo (CFP) và lập lịch trình cho nhiều hội nghị kỹ thuật trên toàn cầu.
Hội nghị an ninh mạng
Lỗ hổng này, được theo dõi dưới mã định danh CVE-2026-41241, được mô tả là vấn đề XSS lưu trữ (Stored XSS). Nó cho phép bất kỳ diễn giả nào đã đăng ký có thể cài mã độc vào bài đăng ký của mình. Mã độc này sẽ âm thầm thực thi ngay khi người tổ chức tìm kiếm bài nộp của kẻ tấn công.
Lỗ hổng này đã được khắc phục trong phiên bản Pretalx 2026.1.0.
Do hàng chục hội nghị kỹ thuật lớn sử dụng chung mã nguồn Pretalx, một kỹ thuật tấn công duy nhất có thể được triển khai đồng thời trên mọi hệ thống. Một tác nhân độc hại có thể gửi đề xuất bài nói chuyện có cài bẫy đến nhiều hội nghị, chờ người tổ chức tìm kiếm, sau đó chiếm quyền tài khoản của họ mà không cần bất kỳ tương tác nào thêm.
Cách thức vượt qua cơ chế bảo mật
Các cơ chế bảo mật của nền tảng được thiết kế để chặn các tập lệnh trái phép, và hệ thống của trình duyệt cũng phải ngăn chặn mã được chèn. Tuy nhiên, các nhà nghiên cứu Novee đã tìm cách lách qua cả hai lớp phòng thủ này.
Bằng cách kết hợp các tính năng vô hại của nền tảng — cụ thể là khả năng tải lên tài liệu của diễn giả và cách hiển thị kết quả tìm kiếm — họ đã tạo ra một chuỗi tấn công cho phép thực thi đầy đủ JavaScript trong trình duyệt của người tổ chức.
Tác động: Tỷ lệ chấp nhận 100%
Tác động của lỗ hổng này rất đáng lo ngại, có thể dẫn đến việc tỷ lệ bài nói chuyện được chấp nhận đạt 100%.
Một kẻ tấn công sở hữu lỗ hổng này và sử dụng một tác nhân AI có thể, về mặt lý thuyết, tự động hóa việc gửi bài đến mọi sự kiện sử dụng Pretalx. Bằng cách nhúng payload độc hại vào tiêu đề bài nộp chứa các từ khóa tìm kiếm phổ biến, kẻ tấn công chỉ cần chờ các truy vấn của người tổ chức kích hoạt khai thác. Điều này hiệu quả buộc các bài nói chuyện của họ được chấp nhận mà không cần bất kỳ quá trình xem xét thực tế nào.
Các nhà nghiên cứu Novee đã chứng minh kịch bản này như một bằng chứng khái niệm (proof of concept) để minh họa tiềm năng lạm dụng trong thế giới thực.
