Sinh viên Đại học FPT phát hiện 7 lỗ hổng bảo mật CVE trên WordPress, được cộng đồng quốc tế ghi nhận và vinh danh.

Sinh viên Trường Đại học FPT tiếp tục ghi dấu ấn khi phát hiện lỗ hổng bảo mật CVE, khẳng định năng lực trên sân chơi an ninh mạng quốc tế. Mới đây, Võ Hoàng Phúc – cựu sinh viên chuyên ngành An toàn thông tin Khoá 17 đã gây ấn tượng mạnh khi phát hiện 7 lỗ hổng bảo mật CVE nghiêm trọng trên các plugin WordPress và được cộng đồng bảo mật thế giới ghi nhận chính thức. Thành tích này không chỉ thể hiện năng lực chuyên môn nổi bật mà còn góp phần ghi tên Việt Nam vào bản đồ bảo mật thế giới.

Trong khoảng thời gian rảnh rỗi của năm cuối đại học, thay vì chỉ tập trung vào lý thuyết cho đồ án tốt nghiệp, Võ Hoàng Phúc đã lựa chọn thử sức với lĩnh vực security research – nghiên cứu và phát hiện lỗ hổng bảo mật CVE trong các hệ thống thực tế. Đây là một hướng đi đòi hỏi sự kiên trì, tư duy logic và khả năng phân tích sâu các hệ thống công nghệ.

Phúc bắt đầu quá trình “săn” lỗ hổng bảo mật CVE trên các plugin WordPress – những tiện ích mở rộng đang hoạt động trên hàng triệu website trên toàn thế giới. Tuy nhiên, không phải plugin nào cũng được lập trình với tiêu chuẩn bảo mật chặt chẽ, và đây chính là cơ hội để những nhà nghiên cứu phát hiện các lỗ hổng bảo mật CVE tiềm ẩn. Việc nghiên cứu này không chỉ mang tính học thuật mà còn gắn liền với các tình huống thực tế, giúp nâng cao kỹ năng chuyên môn một cách rõ rệt.

Sau quá trình phân tích, kiểm thử và báo cáo, kết quả đạt được rất ấn tượng. Võ Hoàng Phúc đã được công nhận 7 mã lỗ hổng bảo mật CVE chính thức, công bố thông qua chương trình Bug Bounty của Wordfence – một trong những tổ chức bảo mật WordPress uy tín hàng đầu thế giới. Bên cạnh đó, Phúc cũng nhận được 500 USD tiền thưởng từ một tổ chức sau khi báo cáo lỗ hổng bảo mật CVE, cho thấy giá trị thực tiễn của những phát hiện này.

Trong khoảng thời gian từ tháng 2 đến tháng 3 năm 2025, Võ Hoàng Phúc đã phát hiện và báo cáo 7 lỗ hổng bảo mật CVE quan trọng, bao gồm nhiều dạng nguy hiểm như Arbitrary File Upload cho phép tải file tùy ý lên server, Privilege Escalation giúp leo thang đặc quyền người dùng, PHP Object Injection có thể dẫn đến thực thi mã từ xa, SQL Injection cho phép truy cập và phá hoại cơ sở dữ liệu, và lỗi Missing Authorization do thiếu kiểm tra phân quyền. Những lỗ hổng bảo mật CVE này đều có mức độ ảnh hưởng cao và có thể bị khai thác nếu không được xử lý kịp thời.

Các plugin chứa lỗ hổng bảo mật CVE đang được cài đặt trên hàng nghìn website WordPress đang hoạt động. Nếu bị khai thác, hậu quả có thể rất nghiêm trọng như đánh cắp dữ liệu khách hàng và thông tin cá nhân, cài mã độc để tấn công người dùng khác, chiếm quyền quản trị website hoặc xoá toàn bộ nội dung. Điều này không chỉ gây thiệt hại về dữ liệu mà còn ảnh hưởng lớn đến uy tín của doanh nghiệp.

Lỗ hổng bảo mật CVE (Common Vulnerabilities and Exposures) là hệ thống định danh lỗ hổng bảo mật được công nhận toàn cầu bởi MITRE và NVD. Mỗi mã CVE giống như một hồ sơ bảo mật tồn tại lâu dài trong cơ sở dữ liệu quốc tế, ghi nhận tên người phát hiện lỗ hổng và đóng góp của họ cho cộng đồng an ninh mạng.

Đối với sinh viên theo đuổi lĩnh vực An toàn thông tin, việc phát hiện và được công nhận lỗ hổng bảo mật CVE trong hệ thống quốc tế là cột mốc quan trọng trong hành trình nghề nghiệp. Mỗi mã CVE không chỉ là minh chứng cho năng lực kỹ thuật mà còn thể hiện khả năng tư duy phản biện, kiên trì và giải quyết vấn đề trong môi trường thực tế. Việc một sinh viên còn đang học đại học nhưng có thể đạt được thành tích này cho thấy tiềm năng rất lớn của thế hệ chuyên gia an ninh mạng trẻ tại Việt Nam.

Tại Trường Đại học FPT, sinh viên ngành Công nghệ thông tin, đặc biệt là chuyên ngành An toàn thông tin, được tiếp cận hệ thống phòng lab chuyên sâu như Phòng lab IA – Học viện mạng Cisco. Tại đây, sinh viên có cơ hội thực hành các kỹ thuật bảo mật, kiểm thử hệ thống và phân tích các lỗ hổng bảo mật CVE trong môi trường mô phỏng. Ngoài ra, sinh viên còn được khuyến khích tham gia các dự án thực tế, cuộc thi và hoạt động nghiên cứu công nghệ, giúp phát triển toàn diện cả kiến thức lẫn kỹ năng.

Hiện tại, Võ Hoàng Phúc đang làm việc với vai trò Chuyên viên kiểm thử bảo mật tại Công ty Cổ phần Giải pháp Công nghệ thông tin Tân Cảng (TCIS). Công việc của Phúc tập trung vào việc đánh giá mức độ an toàn của các hệ thống công nghệ thông tin, phát hiện lỗ hổng bảo mật CVE và đề xuất giải pháp nhằm bảo vệ hệ thống trước các nguy cơ tấn công mạng ngày càng phức tạp.

Câu chuyện của Võ Hoàng Phúc là minh chứng rõ ràng cho tinh thần dám thử thách, dám khám phá và học hỏi từ trải nghiệm thực tế. Từ những giờ tự học, những dòng code phân tích lỗ hổng bảo mật CVE cho đến việc được cộng đồng bảo mật thế giới ghi nhận, hành trình ấy đã góp phần đưa tên Việt Nam lên bản đồ bảo mật toàn cầu.