Một lỗ hổng CVE bảo mật nghiêm trọng, định danh là CVE-2026-1492, đã được phát hiện trong plugin User Registration & Membership dành cho nền tảng WordPress. Lỗ hổng này cho phép những kẻ tấn công không cần xác thực bỏ qua các kiểm soát bảo mật, từ đó tạo tài khoản quản trị viên và chiếm quyền điều khiển hoàn toàn trang web.

Phân tích CVE-2026-1492: Lỗ hổng Quản lý Đặc quyền không đúng cách

Plugin User Registration & Membership là một tiện ích mở rộng phổ biến cho phép chủ sở hữu trang web WordPress tạo các biểu mẫu đăng ký tùy chỉnh và quản lý hồ sơ người dùng.

Tuy nhiên, các phiên bản của WordPress plugin này, từ 5.1.2 trở xuống, tồn tại một vấn đề nghiêm trọng về quản lý đặc quyền không đúng cách (Improper Privilege Management).

Khi một người dùng mới đăng ký, plugin chấp nhận vai trò người dùng được cung cấp mà không thực thi danh sách cho phép (allowlist) phía máy chủ.

Do hệ thống không xác minh xem vai trò được yêu cầu có được phép hay không, kẻ tấn công có thể gửi yêu cầu đăng ký với vai trò quản trị viên.

Cơ chế khai thác và Tác động

Lỗ hổng này cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn trang web WordPress bị ảnh hưởng mà không yêu cầu bất kỳ xác thực nào trước đó.

Sau khi truy cập, kẻ tấn công có thể thực hiện nhiều hành vi độc hại, bao gồm:

• Đánh cắp dữ liệu người dùng nhạy cảm.
• Thay đổi nội dung trang web.
• Cài đặt backdoor độc hại.

Lỗ hổng CVE-2026-1492 được phát hiện bởi nhà nghiên cứu bảo mật Foxyyy và mang điểm số CVSS 9.8, được xếp hạng là nghiêm trọng (Critical). Để biết thêm chi tiết kỹ thuật về lỗ hổng CVE này, có thể tham khảo tại NVD – CVE-2026-1492.

Phát hiện Khai thác Đang hoạt động và Mối đe dọa liên quan

Các hệ thống bảo mật đã phát hiện các nỗ lực khai thác đang hoạt động trong thực tế. Trong 24 giờ qua, đã có 74 cuộc tấn công liên quan đến lỗ hổng này bị chặn.

Đây không phải là vấn đề bảo mật duy nhất mà WordPress plugin này gặp phải gần đây.

Cụ thể, phiên bản 5.1.2 cũng dễ bị tấn công bởi một lỗ hổng bỏ qua xác thực (Authentication Bypass), được theo dõi dưới định danh CVE-2026-1779. Lỗ hổng này cho phép kẻ tấn công bỏ qua hoàn toàn cơ chế đăng nhập, càng làm tăng nguy cơ chiếm quyền điều khiển hệ thống.

Biện pháp khắc phục và Cập nhật bảo mật

Để bảo vệ các nền tảng của mình, quản trị viên trang web phải thực hiện hành động ngay lập tức.

Nhà cung cấp phần mềm đã phát hành một bản vá bảo mật, hạn chế các vai trò có thể được gán trong quá trình đăng ký.

Bản sửa lỗi này ngăn chặn hiệu quả người dùng gửi các vai trò có đặc quyền cao và chặn các cuộc tấn công leo thang đặc quyền.

Theo Wordfence, lỗ hổng được công bố vào ngày 2 tháng 3 năm 2026 và cập nhật vào ngày 3 tháng 3 năm 2026.

Người dùng nên cập nhật plugin ngay lập tức lên phiên bản 5.1.3 hoặc mới hơn.

Khuyến nghị bảo mật cho quản trị viên

Ngoài việc cập nhật bản vá, quản trị viên nên thực hiện các bước sau để tăng cường an ninh mạng cho trang web:

• Kiểm tra quyền truy cập (Access Review): Kiểm tra các tài khoản người dùng hiện có để tìm bất kỳ hồ sơ quản trị viên trái phép nào có thể đã được tạo ra.
• Giám sát lưu lượng truy cập (Traffic Monitoring): Triển khai giám sát chặt chẽ các điểm cuối đăng ký để phát hiện hoạt động đáng ngờ hoặc các yêu cầu vai trò bất thường. Điều này giúp nhanh chóng xác định và phản ứng với các nỗ lực chiếm quyền điều khiển tiềm năng.

Vì lỗ hổng CVE này không yêu cầu kẻ tấn công phải đăng nhập trước, các trang web đang chạy các phiên bản cũ, dễ bị tổn thương vẫn có nguy cơ cao bị tạo tài khoản quản trị viên trái phép.

Việc áp dụng bản cập nhật bảo mật mới nhất là phương pháp hiệu quả nhất để bảo vệ các biểu mẫu đăng ký thành viên và toàn bộ trang web khỏi truy cập trái phép. Đảm bảo rằng tất cả các plugin WordPress đều được cập nhật thường xuyên là yếu tố then chốt để duy trì an toàn thông tin.