Một lỗ hổng WordPress nghiêm trọng đã được phát hiện trong plugin AI Engine, đe dọa hơn 100.000 cài đặt đang hoạt động trên toàn thế giới. Vào ngày 4 tháng 10 năm 2025, các nhà nghiên cứu bảo mật đã xác định một lỗ hổng Phơi nhiễm Thông tin Nhạy cảm, cho phép kẻ tấn công không cần xác thực trích xuất bearer token và leo thang đặc quyền lên cấp quản trị viên.

Chi tiết Lỗ hổng Kỹ thuật

CVE và Mức độ Nghiêm trọng

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-11749 với điểm CVSS là 9.8 (Nghiêm trọng). Nó ảnh hưởng đến tất cả các phiên bản của plugin AI Engine lên đến và bao gồm phiên bản 3.1.3. Plugin AI Engine là một công cụ mạnh mẽ tích hợp Giao thức Ngữ cảnh Mô hình (MCP) với các tác nhân trí tuệ nhân tạo như Claude và ChatGPT, cho phép thực hiện các tác vụ quản lý WordPress phức tạp bao gồm sửa đổi tài khoản người dùng, xử lý phương tiện và chỉnh sửa bài đăng.

May mắn thay, nhà phát triển đã phát hành phiên bản vá lỗi 3.1.4 vào ngày 19 tháng 10 năm 2025, nhằm khắc phục triệt để vấn đề này. Tuy nhiên, các trang web đã từng kích hoạt cài đặt “No-Auth URL” dễ bị tổn thương phải thực hiện xoay bearer token ngay lập tức để đảm bảo an toàn.

Cơ chế Khai thác Lỗ hổng

Lỗ hổng phát sinh từ việc đăng ký không đúng cách các điểm cuối (endpoint) REST API trong lớp Meow_MWAI_Labs_MCP của plugin. Khi quản trị viên kích hoạt tính năng “No-Auth URL” trong cài đặt MCP (tính năng này bị vô hiệu hóa theo mặc định), plugin sẽ đăng ký các tuyến REST API bao gồm bearer token trực tiếp trong đường dẫn điểm cuối.

Điểm mấu chốt là các điểm cuối này được đăng ký mà không đặt tham số 'show_in_index' thành false. Điều này có nghĩa là chúng được liệt kê công khai trong chỉ mục REST API của WordPress tại đường dẫn /wp-json/. Thiết kế lỗ hổng bảo mật này làm lộ bearer token cho bất kỳ kẻ tấn công nào không cần xác thực khi truy vấn REST API, cung cấp một “lời mời mở” để xâm nhập các trang web bị ảnh hưởng.

Kịch bản Tấn công và Chiếm quyền Điều khiển

Một khi kẻ tấn công có được bearer token, chúng có thể tự xác thực với điểm cuối MCP và thực thi các lệnh ở cấp độ quản trị viên. Nghiên cứu đã chứng minh rằng kẻ tấn công có thể sử dụng các lệnh như wp_update_user để sửa đổi vai trò người dùng của chính chúng thành quản trị viên, bỏ qua tất cả các kiểm tra xác thực và ủy quyền.

Từ vị trí đặc quyền này, kẻ tấn công có thể tải lên các plugin hoặc theme độc hại chứa backdoor, sửa đổi nội dung trang web cho mục đích spam hoặc lừa đảo, hoặc chiếm quyền điều khiển hoàn toàn trang web.

# Ví dụ về truy vấn REST API để lộ token (giả định) 
GET /wp-json/mwai-labs/v1/mcp-noauth/YOUR_BEARER_TOKEN/status HTTP/1.1
Host: example.com

# Kịch bản khai thác (sau khi có token) 
POST /wp-json/mwai-labs/v1/mcp/execute HTTP/1.1
Host: example.com
Authorization: Bearer YOUR_BEARER_TOKEN
Content-Type: application/json

{
  "action": "wp_update_user",
  "args": [
    {
      "ID": 123, // ID của người dùng muốn thay đổi vai trò
      "role": "administrator"
    }
  ]
}

Lộ trình Phát hiện và Công bố

Phát hiện và Báo cáo

Lỗ hổng CVE nghiêm trọng này được nhà nghiên cứu Emiliano Versini phát hiện và báo cáo một cách có trách nhiệm thông qua Chương trình Bug Bounty của Wordfence vào ngày 4 tháng 10 năm 2025, chỉ một ngày sau khi lỗ hổng được giới thiệu. Wordfence đã xác thực proof-of-concept (PoC) khai thác và ngay lập tức bắt đầu quá trình công bố cho nhà cung cấp vào ngày 14 tháng 10 năm 2025.

Thông tin chi tiết về lỗ hổng có thể được tìm thấy trên blog của Wordfence: Wordfence Advisory.

Phản ứng và Cập nhật Bảo mật

Nhận thấy mức độ nghiêm trọng của lỗ hổng WordPress này, người dùng Wordfence Premium, Care và Response đã nhận được một quy tắc tường lửa bảo vệ vào ngày 15 tháng 10 năm 2025, thậm chí trước khi bản vá được phát hành. Nhà phát triển đã xác nhận báo cáo và phát hành phiên bản 3.1.4 vào ngày 19 tháng 10 năm 2025. Người dùng phiên bản miễn phí nhận được bảo vệ tường lửa ba mươi ngày sau đó, vào ngày 14 tháng 11 năm 2025.

Quá trình này thể hiện các thực hành công bố có trách nhiệm, với lỗ hổng được khắc phục chỉ trong mười lăm ngày kể từ khi phát hiện ban đầu đến khi triển khai bản vá. Versini đã nhận được khoản tiền thưởng 2.145,00 USD cho phát hiện này, phản ánh cam kết của Wordfence trong việc khuyến khích nghiên cứu lỗ hổng chất lượng nhằm tăng cường hệ sinh thái WordPress.

Biện pháp Khắc phục Khẩn cấp

Cập nhật Plugin AI Engine

Quản trị viên trang web sử dụng AI Engine phải thực hiện hành động ngay lập tức để bảo vệ các cài đặt của mình. Biện pháp giảm thiểu chính là cập nhật bản vá lên phiên bản 3.1.4 hoặc cao hơn.

Xoay Bearer Token Quan Trọng

Tuy nhiên, các trang web đã từng kích hoạt tính năng “No-Auth URL” đối mặt với rủi ro bổ sung: bearer token có thể đã bị lộ cho kẻ tấn công. Đối với các trang web này, chỉ cập nhật plugin là không đủ; quản trị viên phải xoay bearer token trong trang cài đặt của plugin ngay lập tức. Không xoay token sẽ khiến các trang web vẫn dễ bị tổn thương ngay cả sau khi vá lỗi, vì các bearer token hiện có thể bị khai thác bởi kẻ tấn công đã thu thập chúng trước khi triển khai bản vá.

Để xoay bearer token, điều hướng đến phần cài đặt của plugin AI Engine trong bảng điều khiển WordPress và tìm tùy chọn liên quan đến “No-Auth URL” hoặc “Model Context Protocol” và thực hiện tạo lại token.

Giám sát Liên tục

Wordfence tiếp tục giám sát các nỗ lực khai thác nhắm mục tiêu vào lỗ hổng này. Quy tắc tường lửa được triển khai vào ngày 15 tháng 10 phát hiện và chặn các yêu cầu REST API độc hại cố gắng kích hoạt các lệnh leo thang đặc quyền. Quản trị viên WordPress không có plugin bảo mật nên ưu tiên cập nhật ngay lập tức, trong khi những người có bảo vệ của Wordfence nên xác minh rằng cả việc cập nhật plugin và xoay token đều được hoàn thành càng sớm càng tốt. Do tính chất nghiêm trọng của lỗ hổng WordPress này và nguy cơ bị xâm phạm hoàn toàn trang web, việc chậm trễ trong khắc phục là không nên.