-
09/04/2020
-
106
-
915 bài viết
Lỗ hổng Forminator đe dọa hơn 400.000 website WordPress
Một lỗ hổng bảo mật nghiêm trọng trong plugin Forminator – công cụ tạo biểu mẫu phổ biến với hơn 600.000 lượt cài đặt đang bị tin tặc khai thác để xóa tập tin tùy ý trên máy chủ WordPress, từ đó chiếm quyền điều khiển website.
Lỗ hổng được xác định là CVE-2025-6463, với điểm CVSS 8,8, bắt nguồn từ việc plugin không kiểm tra chặt chẽ đường dẫn tập tin trong hàm xử lý xóa các tệp đính kèm khi biểu mẫu bị xóa. Kẻ tấn công có thể lợi dụng điều này để gửi các giá trị độc hại vào bất kỳ trường nào của form, kể cả những trường không cho phép tải file, nhằm chỉ định đường dẫn tới các tệp quan trọng trên hệ thống.
Theo hãng bảo mật Defiant, plugin cho phép xử lý giá trị kiểu mảng tập tin mà không giới hạn loại trường dữ liệu, định dạng tệp hoặc vị trí thư mục. Điều này khiến bất kỳ tập tin nào được liệt kê trong giá trị meta cũng sẽ bị xóa nếu form bị gỡ bỏ. Một mục tiêu phổ biến là tập tin wp-config.php – tệp cấu hình quan trọng chứa thông tin kết nối cơ sở dữ liệu và các khóa bảo mật của trang WordPress. Nếu bị xóa, website sẽ rơi vào trạng thái cài đặt lại, cho phép tin tặc can thiệp vào quá trình thiết lập để giành quyền kiểm soát.
Đáng chú ý, việc khai thác không yêu cầu tài khoản người dùng hay xác thực. Kẻ tấn công có thể gửi biểu mẫu chứa payload từ xa, sau đó đợi form bị xóa, một hành vi hoàn toàn có thể xảy ra nếu form bị coi là spam hoặc không còn sử dụng.
CVE-2025-6463 đã được nhà phát triển vá trong Forminator phiên bản 1.44.3, phát hành ngày 30 tháng 6 năm 2025. Bản cập nhật đã bổ sung kiểm tra hợp lệ đường dẫn tệp, giới hạn xóa chỉ với các file được tải lên qua trường upload hoặc signature và phải nằm trong thư mục wp content uploads.
Tuy vậy, dữ liệu từ WordPress cho thấy chỉ khoảng 200.000 lượt tải bản vá được ghi nhận trong hai ngày đầu tiên, đồng nghĩa với việc hơn 400.000 website vẫn còn đang sử dụng phiên bản dễ bị khai thác.
Với mức độ nghiêm trọng của lỗ hổng và khả năng khai thác trên diện rộng, giới chuyên gia nhận định đây là mối đe dọa đáng chú ý với hệ sinh thái WordPress. Các chiến dịch tấn công tự động quy mô lớn có thể lợi dụng lỗ hổng để chiếm quyền điều khiển hàng loạt trang chưa được cập nhật.
Với mức độ nghiêm trọng của lỗ hổng và khả năng khai thác rộng, việc cập nhật plugin Forminator lên phiên bản mới nhất cần được ưu tiên thực hiện càng sớm càng tốt. Quản trị viên cũng nên rà soát toàn bộ hệ thống, giới hạn quyền truy cập tập tin nhạy cảm và đảm bảo sao lưu dữ liệu định kỳ.
Lỗ hổng được xác định là CVE-2025-6463, với điểm CVSS 8,8, bắt nguồn từ việc plugin không kiểm tra chặt chẽ đường dẫn tập tin trong hàm xử lý xóa các tệp đính kèm khi biểu mẫu bị xóa. Kẻ tấn công có thể lợi dụng điều này để gửi các giá trị độc hại vào bất kỳ trường nào của form, kể cả những trường không cho phép tải file, nhằm chỉ định đường dẫn tới các tệp quan trọng trên hệ thống.
Theo hãng bảo mật Defiant, plugin cho phép xử lý giá trị kiểu mảng tập tin mà không giới hạn loại trường dữ liệu, định dạng tệp hoặc vị trí thư mục. Điều này khiến bất kỳ tập tin nào được liệt kê trong giá trị meta cũng sẽ bị xóa nếu form bị gỡ bỏ. Một mục tiêu phổ biến là tập tin wp-config.php – tệp cấu hình quan trọng chứa thông tin kết nối cơ sở dữ liệu và các khóa bảo mật của trang WordPress. Nếu bị xóa, website sẽ rơi vào trạng thái cài đặt lại, cho phép tin tặc can thiệp vào quá trình thiết lập để giành quyền kiểm soát.
Đáng chú ý, việc khai thác không yêu cầu tài khoản người dùng hay xác thực. Kẻ tấn công có thể gửi biểu mẫu chứa payload từ xa, sau đó đợi form bị xóa, một hành vi hoàn toàn có thể xảy ra nếu form bị coi là spam hoặc không còn sử dụng.
CVE-2025-6463 đã được nhà phát triển vá trong Forminator phiên bản 1.44.3, phát hành ngày 30 tháng 6 năm 2025. Bản cập nhật đã bổ sung kiểm tra hợp lệ đường dẫn tệp, giới hạn xóa chỉ với các file được tải lên qua trường upload hoặc signature và phải nằm trong thư mục wp content uploads.
Tuy vậy, dữ liệu từ WordPress cho thấy chỉ khoảng 200.000 lượt tải bản vá được ghi nhận trong hai ngày đầu tiên, đồng nghĩa với việc hơn 400.000 website vẫn còn đang sử dụng phiên bản dễ bị khai thác.
Với mức độ nghiêm trọng của lỗ hổng và khả năng khai thác trên diện rộng, giới chuyên gia nhận định đây là mối đe dọa đáng chú ý với hệ sinh thái WordPress. Các chiến dịch tấn công tự động quy mô lớn có thể lợi dụng lỗ hổng để chiếm quyền điều khiển hàng loạt trang chưa được cập nhật.
Với mức độ nghiêm trọng của lỗ hổng và khả năng khai thác rộng, việc cập nhật plugin Forminator lên phiên bản mới nhất cần được ưu tiên thực hiện càng sớm càng tốt. Quản trị viên cũng nên rà soát toàn bộ hệ thống, giới hạn quyền truy cập tập tin nhạy cảm và đảm bảo sao lưu dữ liệu định kỳ.
Theo SecurityWeek
Chỉnh sửa lần cuối: