Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong plugin Post SMTP của WordPress, ảnh hưởng đến hơn 400.000 cài đặt đang hoạt động trên toàn cầu. Lỗ hổng này, được định danh là CVE-2025-11833 với điểm CVSS là 9.8 (nghiêm trọng), cho phép kẻ tấn công không xác thực truy cập vào nhật ký email nhạy cảm và thực hiện các cuộc tấn công chiếm quyền điều khiển tài khoản trên các trang WordPress dễ bị tổn thương.

Các nhà nghiên cứu đã ghi nhận hơn 4.500 nỗ lực khai thác kể từ ngày 1 tháng 11 năm 2025, báo hiệu một chiến dịch đe dọa đang hoạt động và ngày càng gia tăng. Tình hình này đòi hỏi sự chú ý khẩn cấp từ các quản trị viên hệ thống và chủ sở hữu trang web để đảm bảo an toàn thông tin.

Chi tiết kỹ thuật về CVE-2025-11833

Bản chất của lỗ hổng và cơ chế khai thác

Vào ngày 11 tháng 10 năm 2025, các nhà nghiên cứu bảo mật đã gửi một báo cáo lỗ hổng đến Wordfence thông qua chương trình Bug Bounty của họ, tiết lộ một lỗ hổng ủy quyền nghiêm trọng trong các phiên bản Post SMTP 3.6.0 và cũ hơn. Theo báo cáo chi tiết từ Wordfence, lỗi này bắt nguồn từ việc thiếu kiểm tra khả năng (missing capability check) trong hàm khởi tạo (constructor) của lớp PostmanEmailLogs trong plugin.

Cụ thể, hàm này không xác minh đầy đủ quyền hạn của người dùng trước khi hiển thị các tin nhắn email đã được ghi lại. Sự bỏ sót này tạo ra một đường dẫn trực tiếp cho kẻ tấn công không cần xác thực để truy cập chức năng ghi nhật ký email của plugin mà không cần bất kỳ yêu cầu xác thực nào. Đây chính là yếu tố cốt lõi tạo nên lỗ hổng CVE nghiêm trọng này.

Plugin Post SMTP được thiết kế để thay thế chức năng gửi mail PHP mặc định của WordPress bằng một trình gửi SMTP đáng tin cậy hơn, đồng thời cung cấp khả năng ghi nhật ký email toàn diện. Tuy nhiên, việc thiếu các kiểm soát ủy quyền phù hợp đồng nghĩa với việc bất kỳ ai trên internet cũng có thể truy cập các nhật ký email chỉ bằng cách truy cập các tham số URL thích hợp. Điều này bao gồm cả các email đặt lại mật khẩu chứa các liên kết đặt lại nhạy cảm, cho phép kẻ tấn công thực hiện chiếm quyền điều khiển tài khoản một cách dễ dàng.

Tác động và Hậu quả của việc khai thác

Một kẻ tấn công có thể vũ khí hóa quyền truy cập này bằng cách kích hoạt một yêu cầu đặt lại mật khẩu cho tài khoản quản trị viên. Sau đó, chúng sẽ chặn email đặt lại từ các nhật ký email bị lộ và sử dụng liên kết đặt lại để chiếm đoạt hoàn toàn tài khoản. Ngay khi có quyền truy cập, kẻ tấn công sẽ giành được đầy đủ đặc quyền quản trị để thao túng nội dung trang web, chèn mã độc hại và có khả năng triển khai các backdoor để duy trì quyền truy cập dai dẳng.

Việc này có thể dẫn đến hậu quả nghiêm trọng như rò rỉ dữ liệu, thay đổi nội dung trang web, phân tán mã độc cho người dùng truy cập, và mất hoàn toàn quyền kiểm soát trang web. Khả năng chiếm quyền điều khiển tài khoản quản trị viên là mối đe dọa trực tiếp và nghiêm trọng đối với các chủ sở hữu trang web WordPress, nhấn mạnh mức độ rủi ro cao của lỗ hổng CVE nghiêm trọng này.

Hoạt động khai thác và Dòng thời gian bảo vệ

Phát hiện và cảnh báo sớm

Lỗ hổng CVE nghiêm trọng này đại diện cho một mối đe dọa ngay lập tức và nghiêm trọng đối với các chủ sở hữu trang WordPress. Dữ liệu từ Wordfence cho thấy kẻ tấn công đã bắt đầu nhắm mục tiêu vào lỗ hổng này ngay từ ngày 1 tháng 11 năm 2025. Các nhà nghiên cứu bảo mật đã chặn hơn 4.500 nỗ lực khai thác trong những ngày đầu tiên, chứng tỏ hoạt động tấn công đã diễn ra mạnh mẽ ngay sau khi thông tin về lỗ hổng được công bố một cách hạn chế.

Với bản chất cực kỳ nghiêm trọng của lỗ hổng và số lượng lớn các cài đặt plugin bị ảnh hưởng, các chuyên gia an ninh mạng dự đoán một sự gia tăng đáng kể trong hoạt động khai thác trong những tuần tới. Việc nắm bắt thông tin và hành động kịp thời là tối quan trọng để giảm thiểu rủi ro.

Tiến trình vá lỗi và bảo vệ

• Ngày 11 tháng 10 năm 2025: Lỗ hổng được nhà nghiên cứu netranger phát hiện và báo cáo cho Wordfence qua chương trình Bug Bounty của họ.
• Ngày 15 tháng 10 năm 2025: Người dùng Wordfence Premium, Care và Response đã nhận được sự bảo vệ thông qua các quy tắc tường lửa được triển khai, chỉ vài ngày sau khi lỗ hổng được xác thực.
• Ngày 29 tháng 10 năm 2025: Nhà cung cấp plugin đã phát hành phiên bản Post SMTP 3.6.1, đây là một bản vá bảo mật đầy đủ, khắc phục hoàn toàn lỗi bỏ qua ủy quyền.
• Ngày 1 tháng 11 năm 2025: Hoạt động khai thác bắt đầu được ghi nhận.
• Ngày 14 tháng 11 năm 2025: Người dùng Wordfence miễn phí sẽ nhận được sự bảo vệ tương tự, cung cấp một khoảng thời gian trì hoãn 30 ngày cho các trang web không có giải pháp bảo mật trả phí. Điều này nhấn mạnh tầm quan trọng của việc cập nhật thủ công cho người dùng không có giám sát bảo mật chủ động.

Nhà nghiên cứu đã phát hiện lỗ hổng, được biết đến với tên netranger, đã nhận được khoản tiền thưởng 7.800 USD thông qua Chương trình Bug Bounty của Wordfence. Điều này thể hiện cam kết của chương trình trong việc khuyến khích nghiên cứu lỗ hổng chất lượng cao và các thực hành tiết lộ có trách nhiệm. Để biết thêm thông tin về CVE này, bạn có thể tham khảo tại NVD NIST.

Hành động khuyến nghị và biện pháp phòng ngừa

Cập nhật khẩn cấp

Quản trị viên các trang WordPress nên cập nhật ngay lập tức lên phiên bản Post SMTP 3.6.1 hoặc mới hơn. Tính chất nghiêm trọng của lỗ hổng CVE nghiêm trọng này, kết hợp với các bằng chứng về hoạt động khai thác tích cực, biến việc cập nhật này thành một ưu tiên hàng đầu. Các trang web đang chạy các phiên bản plugin cũ hơn vẫn đang bị nhắm mục tiêu tích cực bởi các tác nhân đe dọa tìm kiếm quyền truy cập quản trị nhanh chóng để chiếm quyền điều khiển.

Việc không áp dụng bản vá bảo mật kịp thời có thể khiến trang web của bạn trở thành nạn nhân của các cuộc tấn công, dẫn đến mất dữ liệu, ảnh hưởng đến uy tín và các hậu quả tài chính nghiêm trọng khác. Đây không chỉ là một khuyến nghị mà là một yêu cầu cấp bách để bảo vệ hệ thống.

Các bước bổ sung

Chủ sở hữu trang web nên xác minh trạng thái cài đặt của họ, áp dụng bản vá bảo mật, và cân nhắc chia sẻ cảnh báo này với những người khác trong cộng đồng WordPress của họ để đảm bảo sự bảo vệ rộng rãi hơn trên toàn bộ hệ sinh thái. Việc nâng cao nhận thức về các lỗ hổng như lỗ hổng CVE nghiêm trọng này là một phần quan trọng của chiến lược an ninh mạng toàn diện.

Đảm bảo rằng các biện pháp bảo mật bổ sung như tường lửa ứng dụng web (WAF) cũng được cấu hình chính xác và cập nhật, cung cấp thêm một lớp phòng thủ chống lại các nỗ lực khai thác. Kiểm tra định kỳ nhật ký hệ thống để phát hiện bất kỳ hoạt động bất thường nào cũng là một thực hành tốt để duy trì an ninh mạng.