Một lỗ hổng CVE nghiêm trọng trong plugin Case Theme User dành cho WordPress đang cho phép các kẻ tấn công không cần xác thực chiếm đoạt bất kỳ tài khoản nào trên các trang web bị ảnh hưởng, bao gồm cả tài khoản quản trị viên. Lỗ hổng này khai thác tính năng đăng nhập xã hội, đặt ra nguy cơ lớn về an toàn thông tin. Chủ sở hữu trang web được khuyến nghị cập nhật ngay lập tức để bảo vệ hệ thống của mình.

Chi tiết Lỗ hổng CVE-2025-5821 và Mức độ CVSS

Vào ngày 31 tháng 5 năm 2025, Wordfence Intelligence đã nhận được báo cáo về một lỗ hổng vượt quyền xác thực (Authentication Bypass) qua tính năng Đăng nhập Xã hội trong plugin Case Theme User.

Plugin này hiện được cài đặt trên khoảng 12.000 trang WordPress và được tích hợp trong nhiều chủ đề cao cấp bán trên ThemeForest.

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-5821, đã được gán điểm CVSS 9.8 (Critical), cho thấy mức độ nghiêm trọng cực kỳ cao. Nó ảnh hưởng đến tất cả các phiên bản plugin lên đến và bao gồm phiên bản 1.0.3.

Nếu bị khai thác, kẻ tấn công có thể đăng nhập với tư cách bất kỳ người dùng đã đăng ký nào, kể cả tài khoản quản trị viên, chỉ bằng cách cung cấp một địa chỉ email đã biết. Đây là một lỗ hổng CVE có nguy cơ chiếm quyền điều khiển tài khoản hoàn toàn.

Cơ chế Khai thác Lỗ hổng

Vấn đề nằm ở hàm facebook_ajax_login_callback() trong lớp Case_Theme_User_Ajax của plugin. Hàm này chịu trách nhiệm xử lý quá trình đăng nhập xã hội dựa trên Facebook.

Theo thiết kế, hàm này xác minh dữ liệu người dùng được cung cấp qua AJAX. Tuy nhiên, do logic không chính xác, nó lại xác thực người dùng chỉ dựa trên địa chỉ email được cung cấp nếu tồn tại một tên người dùng (username) phù hợp.

Điều này có nghĩa là plugin không yêu cầu bằng chứng sở hữu thông tin đăng nhập Facebook thực tế của nạn nhân, mà chỉ cần email trùng khớp.

Kịch bản Tấn công Thực tế

Một kẻ tấn công có thể thực hiện chuỗi khai thác khá đơn giản. Đầu tiên, kẻ tấn công tự đăng ký một tài khoản tạm thời bằng email của chính họ thông qua quy trình đăng ký mặc định của plugin.

Sau đó, bằng cách gửi địa chỉ email của nạn nhân trong yêu cầu AJAX, kẻ tấn công sẽ kích hoạt hàm wp_set_auth_cookie() cho tài khoản liên kết với email đó.

Quá trình này cấp quyền truy cập ngay lập tức vào tài khoản của nạn nhân, ngay cả khi kẻ tấn công chưa bao giờ chứng minh quyền sở hữu thông tin đăng nhập Facebook của nạn nhân.

Các ví dụ về nỗ lực khai thác cho thấy kẻ tấn công thường thử các tổ hợp địa chỉ email phổ biến, chẳng hạn như [email protected], [email protected], hoặc [email protected], để phát hiện các email quản trị viên hợp lệ và từ đó chiếm quyền điều khiển hệ thống.

Chi tiết về lỗ hổng này có thể được tìm thấy tại Wordfence Blog.

Thời gian Phát hiện và Phản ứng

Wordfence đã phát hành bản vá cho plugin vào ngày 13 tháng 8 năm 2025, với phiên bản 1.0.4. Lỗ hổng này được công khai vào ngày 22 tháng 8.

Các nỗ lực khai thác đã được quan sát sớm nhất vào ngày 23 tháng 8, khi Wordfence Firewall bắt đầu chặn các cuộc gọi AJAX độc hại.

Để bảo vệ người dùng, các quy tắc tường lửa chống lại cuộc tấn công mạng này đã được phân phối cho khách hàng Wordfence Premium, Care và Response vào ngày 10 tháng 6, tuân thủ các quy trình xử lý lỗ hổng tiêu chuẩn. Người dùng miễn phí nhận được sự bảo vệ tương tự sau 30 ngày, vào ngày 10 tháng 7.

Chặn đứng các Cuộc Tấn công mạng

Kể từ khi công khai lỗ hổng, Wordfence Firewall đã chặn hơn 20.900 nỗ lực khai thác nhắm vào lỗ hổng CVE này.

Lưu lượng tấn công đạt đỉnh vào các ngày 26 tháng 8, 30 tháng 8 và 2 tháng 9, chứng tỏ sự quan tâm tích cực từ các tác nhân đe dọa.

Chỉ số IOC của Kẻ Tấn công

Phân tích dữ liệu chặn cho thấy các địa chỉ IP gây ra hành vi tấn công hàng đầu bao gồm:

• 51.15.228.46
• 185.158.113.19
• 193.123.243.202
• 92.118.172.188
• 51.15.228.45
• 193.123.243.203
• 185.158.113.15
• 92.118.172.187
• 51.15.228.161
• 185.158.113.20

Biện pháp Khắc phục và Bảo vệ

Tất cả quản trị viên trang web đang sử dụng plugin Case Theme User phải nâng cấp lên phiên bản 1.0.4 ngay lập tức. Việc không áp dụng bản vá bảo mật này sẽ khiến các trang web dễ bị chiếm quyền điều khiển tài khoản hoàn toàn, leo thang đặc quyền và bị xâm nhập toàn bộ.

Ngoài việc cập nhật, chủ sở hữu trang web nên xác minh rằng các quy tắc của Wordfence Firewall của họ đang hoạt động và xem xét nhật ký sự kiện bị chặn để tìm bất kỳ dấu hiệu nào của nỗ lực khai thác lỗ hổng CVE này.

Bằng cách cài đặt kịp thời plugin đã vá lỗi và duy trì các biện pháp bảo vệ tường lửa mạnh mẽ, các nhà điều hành trang WordPress có thể ngăn chặn những kẻ tấn công tìm cách vượt qua xác thực qua đăng nhập xã hội và bảo vệ cả tài khoản người dùng thông thường lẫn tài khoản quản trị viên.

Cảnh giác liên tục và cập nhật kịp thời vẫn là nền tảng của bảo mật WordPress để đối phó với mọi mối đe dọa mạng.