-
09/04/2020
-
110
-
1.040 bài viết
Hơn 70.000 website WordPress đứng trước nguy cơ bị chiếm quyền từ xa
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong plugin WordPress “Database for Contact Form 7, WPforms, Elementor forms” đang khiến hơn 70.000 website đối mặt nguy cơ bị tấn công thực thi mã từ xa. Lỗ hổng này, được định danh CVE-2025-7384 với điểm CVSS lên tới 9.8, ảnh hưởng đến tất cả các phiên bản từ 1.4.3 trở xuống và đã được công bố ngày 12/8/2025.
Vấn đề xuất phát từ lỗi chèn đối tượng PHP (PHP Object Injection) trong hàm get_lead_detail, nơi dữ liệu đầu vào từ người dùng được đưa thẳng vào quá trình giải tuần tự (deserialization) mà không qua kiểm tra hoặc lọc. Chỉ cần gửi một gói dữ liệu chứa đối tượng độc hại, kẻ tấn công có thể chiếm quyền thực thi lệnh trên máy chủ.
Nguy hiểm hơn, plugin này thường được cài cùng Contact Form 7, vốn tồn tại sẵn chuỗi khai thác POP chain. Khi kết hợp, tin tặc có thể mở rộng tấn công từ chèn đối tượng sang xóa tệp tùy ý, bao gồm các file cấu hình quan trọng như wp-config.php. Một khi tệp này bị xóa, kẻ tấn công có thể buộc hệ thống cài đặt lại WordPress và chèn mã độc, dẫn đến mất toàn bộ quyền kiểm soát.
Chuỗi tấn công không yêu cầu xác thực và có độ phức tạp thấp. Chuỗi vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H cho thấy đây là một lỗ hổng khai thác từ xa, dễ thực hiện và tác động toàn diện đến bảo mật, tính toàn vẹn dữ liệu và cấu hình, cũng như khả dụng của hệ thống.
Nhà nghiên cứu bảo mật mikemyers là người đã phát hiện ra điểm yếu trong cơ chế xử lý dữ liệu của plugin, khi dữ liệu từ người dùng được đưa vào quá trình deserialization mà không qua bước kiểm tra hoặc lọc an toàn. Phiên bản 1.4.4 đã được phát hành để khắc phục, bổ sung cơ chế xác thực và làm sạch dữ liệu đầu vào nhằm chặn khai thác.
Chuyên gia WhiteHat nhận định CVE-2025-7384 là một trong những dạng lỗ hổng nguy hiểm nhất trong các ứng dụng web vì cho phép thực thi mã tùy ý trên máy chủ và hoàn toàn không cần xác thực, khiến quá trình khai thác trở nên dễ dàng với cả tin tặc không chuyên. Với mức độ phổ biến của plugin và khả năng kết hợp POP chain từ Contact Form 7, chỉ cần một khai thác thành công cũng có thể dẫn đến sụp đổ toàn bộ hệ thống WordPress.
Theo khuyến nghị từ các chuyên gia WhiteHat, quản trị viên cần:
Vấn đề xuất phát từ lỗi chèn đối tượng PHP (PHP Object Injection) trong hàm get_lead_detail, nơi dữ liệu đầu vào từ người dùng được đưa thẳng vào quá trình giải tuần tự (deserialization) mà không qua kiểm tra hoặc lọc. Chỉ cần gửi một gói dữ liệu chứa đối tượng độc hại, kẻ tấn công có thể chiếm quyền thực thi lệnh trên máy chủ.
Nguy hiểm hơn, plugin này thường được cài cùng Contact Form 7, vốn tồn tại sẵn chuỗi khai thác POP chain. Khi kết hợp, tin tặc có thể mở rộng tấn công từ chèn đối tượng sang xóa tệp tùy ý, bao gồm các file cấu hình quan trọng như wp-config.php. Một khi tệp này bị xóa, kẻ tấn công có thể buộc hệ thống cài đặt lại WordPress và chèn mã độc, dẫn đến mất toàn bộ quyền kiểm soát.
Chuỗi tấn công không yêu cầu xác thực và có độ phức tạp thấp. Chuỗi vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H cho thấy đây là một lỗ hổng khai thác từ xa, dễ thực hiện và tác động toàn diện đến bảo mật, tính toàn vẹn dữ liệu và cấu hình, cũng như khả dụng của hệ thống.
Nhà nghiên cứu bảo mật mikemyers là người đã phát hiện ra điểm yếu trong cơ chế xử lý dữ liệu của plugin, khi dữ liệu từ người dùng được đưa vào quá trình deserialization mà không qua bước kiểm tra hoặc lọc an toàn. Phiên bản 1.4.4 đã được phát hành để khắc phục, bổ sung cơ chế xác thực và làm sạch dữ liệu đầu vào nhằm chặn khai thác.
Chuyên gia WhiteHat nhận định CVE-2025-7384 là một trong những dạng lỗ hổng nguy hiểm nhất trong các ứng dụng web vì cho phép thực thi mã tùy ý trên máy chủ và hoàn toàn không cần xác thực, khiến quá trình khai thác trở nên dễ dàng với cả tin tặc không chuyên. Với mức độ phổ biến của plugin và khả năng kết hợp POP chain từ Contact Form 7, chỉ cần một khai thác thành công cũng có thể dẫn đến sụp đổ toàn bộ hệ thống WordPress.
Theo khuyến nghị từ các chuyên gia WhiteHat, quản trị viên cần:
- Cập nhật ngay lên phiên bản 1.4.4 hoặc mới hơn để vá lỗ hổng
- Triển khai tường lửa ứng dụng web (WAF) để chặn các chuỗi payload khai thác qua mạng
- Theo dõi log máy chủ nhằm phát hiện dấu hiệu truy cập trái phép hoặc xóa tệp bất thường
- Rà soát định kỳ các plugin xử lý biểu mẫu, ưu tiên loại bỏ những plugin không cần thiết hoặc không còn được duy trì
Tổng hợp