Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong plugin Anti-Malware Security and Brute-Force Firewall của WordPress, đặt hơn 100.000 trang web vào tình trạng rủi ro bị khai thác. Lỗ hổng CVE này cho phép kẻ tấn công được xác thực, ngay cả với quyền truy cập cấp thuê bao cơ bản, có khả năng đọc bất kỳ tệp nào được lưu trữ trên máy chủ web.

CVE-2025-11705: Lỗ hổng Đọc Tệp Tùy ý trong Plugin WordPress

Lỗ hổng CVE này, được định danh là CVE-2025-11705, là một loại lỗ hổng đọc tệp tùy ý (Arbitrary File Read). Nó cho phép kẻ tấn công truy cập vào các tệp nhạy cảm trên hệ thống, bao gồm cả những tệp chứa thông tin cấu hình quan trọng như thông tin xác thực cơ sở dữ liệu và các khóa bảo mật.

Cơ chế gốc của rủi ro bảo mật này nằm ở việc thiếu kiểm tra ủy quyền (authorization check) trong mã nguồn của plugin. Cụ thể, vấn đề tồn tại trong hàm GOTMLS_ajax_scan(), một thành phần được sử dụng để hiển thị kết quả quét mã độc.

Mặc dù hàm này được bảo vệ bằng cơ chế nonce (số ngẫu nhiên chỉ sử dụng một lần) nhằm ngăn chặn truy cập trái phép, kẻ tấn công có tài khoản cấp thuê bao vẫn có thể vượt qua các biện pháp bảo vệ này. Từ đó, chúng có thể khai thác lỗ hổng CVE để đọc bất kỳ tệp nào trên máy chủ.

Sự nguy hiểm của lỗ hổng CVE này đặc biệt cao vì nó cấp cho người dùng cấp thấp khả năng truy cập vào các tệp hệ thống quan trọng. Ví dụ điển hình là tệp wp-config.php, chứa thông tin xác thực cơ sở dữ liệu và các khóa bảo mật mật mã cần thiết cho an ninh của WordPress.

Cơ chế Khai thác và Ảnh hưởng Kỹ thuật

Cơ chế khai thác lỗ hổng CVE này dựa trên việc bỏ qua một cách hiệu quả các biện pháp kiểm soát truy cập dự định. Hàm GOTMLS_ajax_scan(), mặc dù có nonce protection, lại không thực hiện kiểm tra quyền hạn của người dùng. Điều này tạo ra một kẽ hở cho phép người dùng có quyền thấp hơn thực hiện các hành động đáng lẽ chỉ dành cho quản trị viên hoặc người dùng có đặc quyền cao.

Việc chiếm đoạt quyền đọc tệp tùy ý có thể dẫn đến hậu quả nghiêm trọng. Kẻ tấn công có thể thu thập thông tin nhạy cảm như tên người dùng và mật khẩu cơ sở dữ liệu, khóa API, hoặc các thông tin cấu hình độc quyền khác. Những dữ liệu này có thể bị sử dụng để tiến hành các cuộc tấn công tiếp theo, bao gồm chiếm quyền kiểm soát hoàn toàn trang web, đánh cắp dữ liệu hoặc chèn mã độc.

Tệp wp-config.php là một mục tiêu đặc biệt hấp dẫn. Nó không chỉ chứa thông tin đăng nhập cơ sở dữ liệu mà còn cả AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, và NONCE_KEY, vốn là các khóa mật mã quan trọng giúp bảo vệ các phiên người dùng và dữ liệu. Việc lộ các khóa này có thể cho phép kẻ tấn công tạo cookie xác thực hợp lệ, chiếm đoạt phiên người dùng và duy trì quyền truy cập.

Phát hiện và Cập nhật Bản vá Bảo mật

Lỗ hổng CVE này được nhà nghiên cứu bảo mật Dmitrii Ignatyev phát hiện. Ông đã báo cáo lỗ hổng một cách có trách nhiệm thông qua Chương trình Bug Bounty của Wordfence vào ngày 3 tháng 10 năm 2025. Phát hiện này đã mang lại cho ông khoản tiền thưởng 960 USD.

Sau khi Wordfence xác nhận lỗ hổng CVE, nhà phát triển plugin đã nhanh chóng phát hành phiên bản được vá lỗi, 4.23.83, vào ngày 15 tháng 10 năm 2025, chỉ hai ngày sau khi xác thực. Bản vá này đã triển khai các kiểm tra quyền hạn thích hợp thông qua hàm GOTMLS_kill_invalid_user().

Chức năng mới đảm bảo rằng chỉ những người dùng có quyền phù hợp mới có thể truy cập vào các hoạt động liên quan đến tệp nhạy cảm. Điều này ngăn chặn người đăng ký và các người dùng có đặc quyền thấp khác khai thác lỗ hổng CVE.

Người dùng của Wordfence Premium, Care và Response đã nhận được khả năng bảo vệ tường lửa chống lại các cuộc tấn công khai thác tiềm năng vào ngày 14 tháng 10 năm 2025. Đối với người dùng phiên bản miễn phí của Wordfence, lớp bảo vệ tương tự sẽ được cung cấp vào ngày 13 tháng 11 năm 2025, tuân theo độ trễ tiêu chuẩn 30 ngày.

Hành động Khuyến nghị và Bảo vệ Hệ thống

Các quản trị viên trang web đang sử dụng plugin Anti-Malware Security and Brute-Force Firewall phải thực hiện hành động ngay lập tức. Điều quan trọng nhất là cập nhật lên phiên bản 4.23.83 hoặc cao hơn để bảo vệ các trang web khỏi bị khai thác. Việc bỏ qua bản vá bảo mật này có thể dẫn đến nguy cơ lớn cho hệ thống của bạn.

Lỗ hổng CVE-2025-11705 này ảnh hưởng đến tất cả các phiên bản của plugin lên đến và bao gồm 4.23.81. Điều này làm cho việc cập nhật kịp thời trở nên cực kỳ quan trọng để duy trì an ninh mạng và an toàn dữ liệu của trang web.

Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật plugin thường xuyên và theo dõi các thông báo bảo mật. Các chủ sở hữu trang web nên thường xuyên kiểm tra phiên bản plugin của mình và triển khai các bản cập nhật kịp thời. Điều này giúp ngăn chặn truy cập trái phép vào các tệp máy chủ nhạy cảm và duy trì tính toàn vẹn của cài đặt WordPress.

Để biết thêm chi tiết về lỗ hổng, bạn có thể tham khảo báo cáo của Wordfence: 100,000+ WordPress Sites Affected by Arbitrary File Read Vulnerability in Anti-Malware Security and Brute-Force Firewall WordPress Plugin.