Báo động cho cộng đồng WordPress. Một Lỗ hổng WordPress nghiêm trọng trong plugin phổ biến đang mở đường cho Lỗ hổng plugin WordPress thực thi mã từ xa, đe dọa hơn 70.000 website. Với điểm CVSS 9.8 và tấn công không cần đăng nhập, nguy cơ chiếm quyền điều khiển là rất cao. Cập nhật và vá lỗi ngay để giảm thiểu rủi ro.
Lỗ hổng nghiêm trọng trong plugin WordPress phơi bày hơn 70.000 website trước tấn công RCE
Một lỗ hổng bảo mật ở mức cực kỳ nghiêm trọng vừa được phát hiện trong plugin WordPress phổ biến “Database for Contact Form 7, WPforms, Elementor forms”, có khả năng khiến hơn 70.000 website bị tấn công thực thi mã từ xa (Remote Code Execution – RCE).
Lỗ hổng này được theo dõi với mã CVE-2025-7384, đạt điểm CVSS tối đa 9.8, ảnh hưởng đến mọi phiên bản từ trước cho đến 1.4.3 và được công bố rộng rãi vào ngày 12 tháng 8 năm 2025.
Nguyên nhân xuất phát từ lỗi PHP Object Injection qua cơ chế giải tuần tự dữ liệu không đáng tin ở hàm get_lead_detail của plugin, cho phép kẻ tấn công chưa xác thực chèn các đối tượng PHP độc hại mà không cần bất kỳ thông tin đăng nhập hay tương tác nào.
Điểm chính cần nắm
- Lỗ hổng nghiêm trọng trong plugin WordPress phơi bày hơn 70.000 website trước nguy cơ thực thi mã từ xa.
- Kẻ tấn công có thể khai thác PHP Object Injection để xâm phạm hệ thống.
- Cập nhật ngay lập tức để ngăn chặn bị khai thác.
Đây là một trong những dạng lỗ hổng ứng dụng web nghiêm trọng nhất, vì nó cho phép kẻ tấn công chạy mã tùy ý trên máy chủ dễ tổn thương.
WordPress Plugin Deserialization Vulnerability
Kỹ thuật tấn công lợi dụng việc giải tuần tự dữ liệu đầu vào không đáng tin, một vector khá phổ biến khi ứng dụng xử lý đối tượng tuần tự hóa mà thiếu bước kiểm tra và xác thực.
Nhà nghiên cứu bảo mật mikemyers đã chỉ ra điểm yếu cụ thể trong cơ chế xử lý dữ liệu của plugin, nơi đầu vào do người dùng cung cấp bị giải tuần tự trực tiếp mà không có bước làm sạch hay xác thực phù hợp.
Điều khiến lỗ hổng này đặc biệt nguy hiểm là sự tồn tại của chuỗi Property-Oriented Programming (POP) trong plugin Contact Form 7, vốn thường được cài đặt cùng plugin cơ sở dữ liệu nói trên.
Chuỗi POP này cho phép kẻ tấn công nâng cấp từ việc chèn đối tượng ban đầu lên khả năng xóa tệp tùy ý, có thể nhắm vào các tệp hệ thống quan trọng như wp-config[.]php.
Khi các tệp cấu hình cốt lõi của WordPress bị xóa, hệ quả có thể là chiếm quyền toàn bộ hệ thống hoặc tạo điều kiện cho những kịch bản thực thi mã từ xa.
Đáng chú ý, vector tấn công này không yêu cầu xác thực, khiến nó trở nên cực kỳ dễ tiếp cận với đối tượng xấu.
Chuỗi vector CVSS được công bố là CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, cho thấy tấn công từ mạng, độ phức tạp thấp, không cần đặc quyền, không cần tương tác người dùng và tác động cao đến tính bí mật, toàn vẹn và sẵn sàng.
| Yếu tố rủi ro | Chi tiết |
| Sản phẩm bị ảnh hưởng | Database for Contact Form 7, WPforms, Elementor forms plugin ≤ 1.4.3 |
| Tác động | Thực thi mã từ xa |
| Điều kiện khai thác | Không yêu cầu gì (tấn công chưa xác thực) |
| Điểm CVSS 3.1 | 9.8 (Cực kỳ nghiêm trọng) |
Mitigations
Quản trị viên website đang dùng plugin bị ảnh hưởng cần cập nhật ngay lên phiên bản 1.4.4 hoặc mới hơn, các bản này đã bao gồm vá bảo mật cần thiết.
Nhà phát triển đã khắc phục lỗ hổng bằng cách bổ sung cơ chế xác thực và làm sạch dữ liệu đầu vào trong hàm get_lead_detail, ngăn chặn hiệu quả việc chèn đối tượng độc hại.
Vì mức độ nghiêm trọng của lỗ hổng và khả năng bị khai thác diện rộng, các chuyên gia khuyến nghị triển khai thêm các lớp bảo vệ như Web Application Firewall (WAF) và giám sát an ninh thường xuyên.
Tổ chức cũng nên thực hiện các cuộc kiểm thử và rà soát bảo mật toàn diện cho hệ thống WordPress, đặc biệt là nhóm plugin xử lý biểu mẫu, nơi dữ liệu người dùng được gửi vào và xử lý liên tục.
Việc công bố và phát hành bản vá nhanh chóng lần này nhấn mạnh tầm quan trọng của việc duy trì môi trường WordPress luôn cập nhật và vai trò thiết yếu của cộng đồng nghiên cứu bảo mật trong phát hiện kịp thời các lỗ hổng có thể gây hậu quả nghiêm trọng trước khi bị khai thác ở quy mô lớn.
Lưu ý SEO và người dùng WordPress: Để nâng cao khả năng hiển thị và tiếp cận thông tin khẩn cấp, nên trình bày rõ từ khóa trọng tâm như Lỗ hổng WordPress và Lỗ hổng plugin WordPress thực thi mã từ xa trong tiêu đề, phần giới thiệu và các đề mục chính. Đồng thời, đảm bảo nội dung luôn dễ đọc, súc tích và có hướng dẫn hành động cụ thể như cập nhật bản vá, bật WAF và theo dõi log hệ thống.
Tăng cường SOC và giúp đội ngũ của bạn bảo vệ doanh nghiệp với nguồn tình báo mối đe dọa chất lượng cao miễn phí: Request TI Lookup Premium Trial.
Nguồn và lời cảm ơn: https://cybersecuritynews.com/