Một lỗ hổng CVE nghiêm trọng trong plugin Post SMTP trên WordPress đang mở đường cho các cuộc tấn công chiếm quyền điều khiển, đe doạ hàng trăm nghìn website. Bài viết phân tích cách khai thác, tác động thực tế và bản vá bảo mật cần triển khai ngay, kèm hướng dẫn hành động khẩn giúp quản trị viên giảm thiểu rủi ro và củng cố phòng tuyến an ninh.
Một lỗ hổng CVE mức độ nghiêm trọng đã được xác nhận trong plugin Post SMTP phổ biến cho WordPress, đe doạ hơn 400.000 website có nguy cơ bị tấn công chiếm quyền điều khiển tài khoản.
Lỗ hổng được gán định danh CVE-2025-24000, ảnh hưởng đến các bản 3.2.0 trở về trước. Theo thông tin từ Patchstack, lỗ hổng cho phép tài khoản có đặc quyền thấp truy cập dữ liệu email nhạy cảm, từ đó có thể leo thang đặc quyền và giành quyền quản trị trên các trang web chịu ảnh hưởng.
Tổng Quan Về Plugin Post SMTP
Post SMTP do Saad Iqbal thuộc WPExperts phát triển, là giải pháp gửi email cho WordPress, cho phép quản trị cấu hình các dịch vụ SMTP tuỳ chỉnh.
Plugin nổi bật với các tính năng như ghi log email, xác thực DNS và hỗ trợ OAuth. Tuy vậy, một lỗi cốt lõi trong cơ chế kiểm soát truy cập đã tạo ra rủi ro bảo mật đáng kể cho lượng lớn người dùng.
Phân Tích Lỗ Hổng CVE-2025-24000
Nguyên Nhân Gốc Rễ Broken Access Control
Gốc rễ của lỗ hổng CVE nằm ở cơ chế kiểm soát truy cập bị phá vỡ (broken access control) trong các endpoint REST API của plugin.
Ở các phiên bản bị ảnh hưởng, endpoint chỉ xác định người dùng đã đăng nhập hay chưa, mà không xác thực năng lực hay cấp độ quyền hạn thực tế.
Sai sót nghiêm trọng này cho phép mọi tài khoản đã đăng ký, kể cả vai trò thấp như Subscriber – vốn không có quyền quản trị – vẫn có thể thực thi hành động trái phép.
Cơ Chế Khai Thác và Tác Động
Các chức năng bị lộ bao gồm xem thống kê số lượng email, gửi lại email và nghiêm trọng nhất là truy cập log email chi tiết chứa nội dung email.
Việc truy cập trái phép này tạo điều kiện thuận lợi cho các cuộc tấn công chiếm quyền điều khiển. Kẻ tấn công có thể chặn email đặt lại mật khẩu cùng thông tin nhạy cảm gửi đến người dùng có đặc quyền cao, kể cả quản trị viên.
Lỗ hổng CVE phát sinh từ hàm get_logs_permission trong quá trình triển khai REST API. Mỗi route REST API dựa vào hàm này để xác thực, nhưng hàm chỉ kiểm tra cơ bản is_user_logged_in().
Hàm không bổ sung kiểm tra năng lực, ví dụ xác định người dùng có manage_options hay không – năng lực thường chỉ cấp cho quản trị viên.
Cách thiết kế quyền chưa đầy đủ khiến bất kỳ người dùng đã xác thực đều có thể gọi các endpoint như /get-details, từ đó truy xuất dữ liệu giao dịch email nhạy cảm mà không có uỷ quyền hợp lệ.
Hệ thống vai trò và năng lực tích hợp sẵn của WordPress vì thế bị vô hiệu hoá trên thực tế, tạo thành một cửa hậu quản trị không mong muốn.
Các Biện Pháp Khắc Phục và Khuyến Nghị
Bản Vá Bảo Mật Đã Phát Hành
Lỗ hổng CVE đã được khắc phục trong bản Post SMTP 3.3.0. Bản cập nhật này giải quyết triệt để vấn đề bảo mật nêu trên.
Phiên bản vá bổ sung kiểm tra năng lực thích hợp trong get_logs_permission, đảm bảo chỉ người dùng có quyền quản trị phù hợp mới được truy cập các chức năng quản lý email nhạy cảm.
Hành Động Cần Thiết Ngay Lập Tức
Tất cả người dùng Post SMTP đang vận hành bản 3.2.0 hoặc cũ hơn cần hành động ngay. Quản trị viên nên nâng cấp lên 3.3.0 để chặn mọi khả năng khai thác.
Song song, chủ website cần rà soát tài khoản người dùng và log truy cập để phát hiện dấu hiệu bất thường có thể đã xảy ra trước khi áp dụng bản vá bảo mật.
Sự cố nhấn mạnh tầm quan trọng của việc triển khai kiểm soát quyền toàn diện cho plugin WordPress, đặc biệt với những plugin xử lý dữ liệu nhạy cảm như email. Cần thường xuyên cập nhật thông tin lỗ hổng CVE mới trên các nguồn đáng tin cậy như NVD để duy trì an ninh hệ thống.
Nguồn tham khảo và lời cảm ơn: https://adsecvn.com/