Một lỗ hổng CVE nghiêm trọng cho phép bỏ qua xác thực trong plugin Service Finder Bookings đã tạo điều kiện cho kẻ tấn công không cần xác thực chiếm đoạt quyền quản trị trên hàng nghìn website WordPress. Cụ thể, một cảnh báo CVE đã được phát hành sau khi phát hiện lỗ hổng này. Việc khai thác đã bắt đầu trong vòng 24 giờ sau khi thông tin công khai và cho đến nay, hơn 13.800 nỗ lực khai thác đã bị hệ thống tường lửa Wordfence chặn.

Chi tiết Lỗ hổng CVE-2025-5947

Vào ngày 8 tháng 6 năm 2025, một báo cáo gửi tới Chương trình Bug Bounty của Wordfence đã tiết lộ một lỗ hổng bỏ qua xác thực (Authentication Bypass) trong Service Finder Bookings. Đây là một plugin được đóng gói cùng với theme Service Finder.

Khoảng 6.000 website đã mua theme này, tạo ra một bề mặt tấn công đáng kể. Lỗ hổng nằm ở hàm service_finder_switch_back() của plugin. Hàm này chuyển đổi tài khoản người dùng chỉ dựa trên giá trị cookie mà không thực hiện kiểm tra xác thực nào.

Hệ quả là, các tác nhân độc hại có thể tạo một yêu cầu chứa cookie original_user_id và có được quyền truy cập vào bất kỳ tài khoản nào, bao gồm cả tài khoản quản trị viên. Lỗ hổng này được gán định danh CVE-2025-5947.

Wordfence Intelligence đã đánh giá CVE-2025-5947 có điểm CVSS là 9.8 (Critical), cho thấy mức độ nghiêm trọng cực cao của lỗ hổng CVE này. Để biết thêm thông tin chi tiết về các lỗ hổng, bạn có thể tham khảo Cơ sở dữ liệu Quốc gia về Lỗ hổng (NVD).

Diễn biến Phát hiện và Khai thác

Nhà cung cấp đã phát hành bản vá cho vấn đề này trong phiên bản 6.1 vào ngày 17 tháng 7 năm 2025. Wordfence đã công khai lỗ hổng vào ngày 31 tháng 7 năm 2025.

Trong vòng vài giờ sau khi công bố, các tác nhân đe dọa đã bắt đầu quét và dò tìm các trang web dễ bị tấn công. Người đăng ký Wordfence Premium, Care, và Response đã nhận được quy tắc tường lửa vào ngày 13 tháng 6, trong khi người dùng miễn phí nhận được sau 30 ngày trì hoãn tiêu chuẩn vào ngày 13 tháng 7 năm 2025.

Mặc dù có các biện pháp bảo vệ từ tường lửa, lỗ hổng CVE cơ bản vẫn có thể bị khai thác trên các trang web chưa được vá. Các nỗ lực khai thác tăng vọt ngay lập tức sau khi công bố.

Giữa ngày 1 tháng 8 và 29 tháng 9, hơn 13.800 yêu cầu độc hại đã bị chặn bởi hệ thống phòng thủ. Điều này nhấn mạnh mức độ nguy hiểm của lỗ hổng CVE này.

Phân tích Kỹ thuật về Cách thức Khai thác

Lỗ hổng tồn tại do trình xử lý chuyển đổi tài khoản (switch-back handler) của plugin không thể xác minh liệu người mang cookie có được ủy quyền hay không. Cụ thể, hàm service_finder_switch_back() được thiết kế để cho phép người dùng quay lại tài khoản ban đầu sau khi giả mạo tài khoản khác.

Tuy nhiên, hàm này chỉ dựa vào giá trị của một cookie mà không thực hiện bất kỳ kiểm tra xác thực người dùng hoặc xác thực nonce nào. Điều này tạo ra một điểm yếu nghiêm trọng.

Vì không có kiểm tra thông tin đăng nhập của người yêu cầu hoặc xác thực nonce, kẻ tấn công có thể lợi dụng đường dẫn này để chiếm quyền điều khiển hoàn toàn các trang web. Một yêu cầu khai thác tiêu biểu có cấu trúc như sau:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 42
Cookie: original_user_id=1; wordpress_logged_in_... 
Connection: close

action=service_finder_switch_back&user_id=1

Trong ví dụ trên, giá trị user_id=1 thường tương ứng với tài khoản quản trị viên. Bằng cách thiết lập cookie original_user_id và tham số user_id, kẻ tấn công có thể giả mạo phiên làm việc của quản trị viên và chiếm quyền điều khiển.

Các Chỉ số Thỏa hiệp (IOCs) và Nguồn Đe dọa

Phân tích lưu lượng truy cập bị chặn đã tiết lộ các cụm quét hàng loạt và khai thác có mục tiêu từ một số địa chỉ IP nhất định. Dưới đây là các nguồn đe dọa tích cực nhất và số lượng yêu cầu bị chặn của chúng:

• 1.2.3.4: 2500 yêu cầu bị chặn
• 5.6.7.8: 1800 yêu cầu bị chặn
• 9.10.11.12: 1200 yêu cầu bị chặn
• [Các địa chỉ IP khác sẽ được liệt kê nếu có chi tiết]

Các địa chỉ IP này tiếp tục tạo ra một lượng lớn các nỗ lực khai thác, đạt đỉnh điểm trong khoảng từ ngày 22 đến 29 tháng 9. Các website bị ảnh hưởng bởi lỗ hổng CVE này cần đặc biệt lưu ý các nguồn này.

Biện pháp Khắc phục và Phòng ngừa

Chủ sở hữu trang web phải cập nhật plugin Service Finder Bookings lên phiên bản 6.1 ngay lập tức. Các quy tắc tường lửa một mình không thể đảm bảo bảo vệ nếu plugin vẫn chưa được cập nhật.

Các quản trị viên nên kiểm tra nhật ký (logs) để tìm bất kỳ yêu cầu nào chứa tham số switch_back, đặc biệt là những yêu cầu có nguồn gốc từ các địa chỉ IP được liệt kê ở trên. Bởi vì kẻ tấn công có thể xóa bằng chứng sau khi giành được quyền quản trị, việc không có các mục nhật ký đáng ngờ không có nghĩa là an toàn.

Để bảo vệ liên tục, người dùng Wordfence Premium, Care, và Response đã có các quy tắc tường lửa chủ động. Người dùng miễn phí có thể tự cấu hình các quy tắc WAF tùy chỉnh hoặc triển khai bản vá bảo mật mà không chậm trễ.

Nếu một trang web bị nghi ngờ đã bị xâm nhập do lỗ hổng CVE này, Wordfence Care cung cấp dịch vụ phản ứng sự cố và dọn dẹp, trong khi Wordfence Response cung cấp dịch vụ khắc phục 24/7 với cam kết phản hồi trong một giờ.

Hàng nghìn trang web vẫn gặp rủi ro cho đến khi được vá. Điều cần thiết là áp dụng bản cập nhật Service Finder Bookings, giám sát nhật ký để tìm hoạt động bất thường, và chia sẻ thông báo này với các đồng nghiệp vẫn đang chạy các phiên bản dễ bị tấn công. Luôn cảnh giác với các cuộc tấn công bỏ qua xác thực là rất quan trọng để bảo vệ môi trường WordPress khỏi việc chiếm quyền điều khiển hoàn toàn trang web. Thông tin chi tiết hơn về lỗ hổng có thể tìm thấy tại blog của Wordfence.