Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong plugin King Addons for Elementor của WordPress, khiến hàng nghìn website đứng trước nguy cơ bị chiếm quyền kiểm soát hoàn toàn. Các nhà nghiên cứu bảo mật đã cảnh báo về mối đe dọa này.

Phân tích Lỗ Hổng CVE: CVE-2025-8489

Lỗ hổng được định danh là CVE-2025-8489, đây là một lỗ hổng CVE cho phép kẻ tấn công không cần xác thực đăng ký tài khoản quản trị viên (administrator) với đầy đủ quyền hạn. Vấn đề này xuất phát từ việc lạm dụng chức năng đăng ký không an toàn trong plugin.

Với hơn 10.000 lượt cài đặt đang hoạt động, plugin King Addons for Elementor là một mục tiêu đáng chú ý, đặt ra rủi ro lớn cho nhiều chủ sở hữu website. Các phiên bản plugin bị ảnh hưởng bao gồm từ 24.12.92 đến 51.1.14.

Cụ thể, trong các phiên bản này, mã đăng ký của plugin đã không thực hiện đúng việc hạn chế các vai trò người dùng (user roles) có thể được gán trong quá trình đăng ký.

Cơ chế Khai thác và Chiếm Quyền Điều Khiển

Kẻ tấn công có thể gửi một yêu cầu được chế tạo đặc biệt đến endpoint admin-ajax.php của WordPress. Trong yêu cầu này, chúng sẽ thiết lập trường user_role thành administrator.

Điều này cho phép kẻ tấn công tạo một tài khoản cấp quản trị viên mới mà không cần đăng nhập hay chứng minh quyền truy cập trước đó. Dưới đây là ví dụ minh họa về cấu trúc yêu cầu HTTP mà kẻ tấn công có thể sử dụng:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: your-wordpress-site.com
Content-Type: application/x-www-form-urlencoded
Content-Length: [length_of_body]

action=create_new_user&username=attacker_admin&[email protected]&password=secure_password&user_role=administrator

Sau khi một kẻ tấn công có được đặc quyền quản trị viên, chúng sẽ có khả năng chiếm quyền điều khiển hoàn toàn website. Mức độ nghiêm trọng của lỗ hổng CVE này được đánh giá là 9.8 (Critical) theo hệ thống tính điểm CVSS.

Hậu quả và Tác động của cuộc Tấn Công Mạng do lỗ hổng CVE này gây ra

Việc chiếm quyền điều khiển một website WordPress thông qua lỗ hổng này mang lại nhiều hậu quả nghiêm trọng:

• Cài đặt mã độc: Kẻ tấn công có thể cài đặt các plugin hoặc theme độc hại chứa backdoor, tạo ra các điểm truy cập bí mật để duy trì quyền kiểm soát.
• Sửa đổi nội dung: Thay đổi hoặc xóa bài viết, trang, làm sai lệch thông tin hoặc phá hoại nội dung của website.
• Chuyển hướng độc hại: Chuyển hướng khách truy cập đến các website độc hại chứa mã độc, lừa đảo (phishing), hoặc các trang quảng cáo không mong muốn.
• Tiêm mã spam/phishing: Chèn nội dung spam, quảng cáo không liên quan, hoặc các chiến dịch lừa đảo trực tiếp vào website, gây tổn hại đến uy tín và an toàn của người dùng.
• Rò rỉ dữ liệu: Trong một số trường hợp, nếu website xử lý dữ liệu nhạy cảm, kẻ tấn công có thể truy cập và đánh cắp thông tin đó.

Nói tóm lại, lỗ hổng CVE nghiêm trọng này có thể dẫn đến việc kiểm soát hoàn toàn trang web, gây ra tổn thất lớn về dữ liệu và danh tiếng.

Phản ứng và Cập nhật Bản Vá Bảo Mật

Nhà phát triển plugin đã phát hành một bản vá bảo mật khắc phục vào ngày 25 tháng 9 năm 2025, với phiên bản 51.1.35. Tất cả người dùng đều được khuyến nghị cập nhật ngay lập tức để vá lỗ hổng CVE này.

Công ty bảo mật Wordfence đã triển khai quy tắc tường lửa để chặn các cuộc tấn công nhắm vào lỗ hổng này cho các khách hàng Premium, Care và Response của họ vào ngày 4 tháng 8 năm 2025.

Quy tắc bảo vệ tương tự cũng được cung cấp cho người dùng miễn phí vào ngày 3 tháng 9 năm 2025. Tuy nhiên, các kẻ tấn công đã bắt đầu tích cực khai thác lỗ hổng ngay sau khi thông tin được công khai vào ngày 30 tháng 10 năm 2025.

Theo báo cáo từ Wordfence, tường lửa của họ đã chặn hơn 48.400 nỗ lực khai thác nhắm vào lỗ hổng CVE này. Lượng traffic tấn công tăng đột biến đặc biệt vào các ngày 9 và 10 tháng 11. Bạn có thể tham khảo thêm thông tin chi tiết từ báo cáo của Wordfence.

Chỉ số Nhận diện Nguy cơ (IOCs) và Khuyến nghị

Một số địa chỉ IP đã được xác định là nguồn gốc chính của các cuộc tấn công khai thác lỗ hổng CVE-2025-8489:

• 45.61.157.120
• 2602:fa59:3:424::1

Mỗi địa chỉ IP này chịu trách nhiệm cho hàng chục nghìn yêu cầu bị chặn. Chủ sở hữu website đang sử dụng plugin King Addons for Elementor được khuyến cáo mạnh mẽ thực hiện các bước sau để đảm bảo an toàn thông tin trước lỗ hổng CVE này:

1. Cập nhật ngay lập tức: Nâng cấp plugin lên phiên bản 51.1.35 hoặc mới hơn càng sớm càng tốt. Đây là biện pháp khắc phục quan trọng nhất.
2. Kiểm tra tài khoản quản trị viên: Rà soát danh sách tài khoản người dùng và xác định bất kỳ tài khoản quản trị viên không xác định hoặc đáng ngờ nào. Nếu phát hiện, hãy xóa bỏ ngay lập tức.
3. Xem xét nhật ký máy chủ và truy cập: Kiểm tra các tệp nhật ký (server and access logs) để tìm kiếm các yêu cầu từ các địa chỉ IP tấn công đã biết.
4. Giám sát thay đổi bất thường: Theo dõi các thay đổi không mong muốn đối với nội dung website, plugin hoặc themes. Bất kỳ sự thay đổi nào mà bạn không ủy quyền có thể là dấu hiệu của việc hệ thống bị xâm nhập.

Nếu nghi ngờ website của mình đã bị xâm phạm, bạn nên tìm kiếm các dịch vụ phản ứng sự cố và làm sạch chuyên nghiệp càng sớm càng tốt để khôi phục an toàn thông tin sau khi bị ảnh hưởng bởi lỗ hổng CVE.