-
09/04/2020
-
109
-
989 bài viết
200.000 website có nguy cơ bị chiếm quyền vì lỗ hổng plugin email
Lỗ hổng nghiêm trọng trong plugin Post SMTP khiến hơn 200.000 website WordPress có nguy cơ bị chiếm quyền điều khiển. Plugin này hiện có hơn 400.000 lượt cài đặt, được dùng thay thế hàm gửi thư mặc định wp_mail() nhằm đảm bảo khả năng gửi thư ổn định và đa dạng hơn về tính năng.
Lỗ hổng nguy hiểm này được gán mã định danh CVE-2025-24000 với điểm CVSS là 8,8. Vấn đề bắt nguồn từ một sai sót trong cơ chế kiểm soát truy cập tại các điểm cuối REST API của plugin. Đây là phần đảm nhiệm việc giao tiếp giữa plugin và hệ thống WordPress. Cụ thể, thay vì kiểm tra kỹ quyền hạn của người dùng trước khi cho phép truy cập các chức năng nhạy cảm, hệ thống lại chỉ xác nhận rằng người đó đã đăng nhập. Điều này có nghĩa là ngay cả những tài khoản có quyền rất thấp như Subscriber, vốn chỉ được phép đọc bài viết hoặc chỉnh sửa hồ sơ cá nhân, cũng có thể truy cập vào phần nhật ký email của hệ thống.
Nguy hiểm ở chỗ các nhật ký này không chỉ lưu lại thông tin cơ bản như tiêu đề hay thời điểm gửi mà còn chứa toàn bộ nội dung email đã gửi đi. Tin tặc có thể lợi dụng lỗ hổng này để âm thầm theo dõi các thư điện tử nội bộ, trong đó có cả email hướng dẫn đặt lại mật khẩu. Chỉ cần có một tài khoản cấp thấp và một vài thao tác đơn giản, kẻ tấn công hoàn toàn có thể yêu cầu hệ thống gửi lại mật khẩu cho tài khoản quản trị rồi đọc thư đặt lại trong phần nhật ký. Từ đó, chúng dễ dàng giành quyền kiểm soát website mà không cần vượt qua thêm lớp bảo vệ nào. Đây là hành vi tuy đơn giản nhưng hiệu quả và hoàn toàn hợp lệ trong mắt hệ thống.
Ngay sau khi nhận được cảnh báo từ cộng đồng bảo mật, nhà phát triển plugin là Saad Iqbal đã nhanh chóng phối hợp cùng hãng bảo mật PatchStack để xử lý vấn đề. Bản vá được phát hành trong phiên bản Post SMTP 3.3.0 vào ngày 11/6. Bản cập nhật này bổ sung cơ chế kiểm tra quyền người dùng trong hàm get_logs_permission, từ đó ngăn chặn các tài khoản trái phép truy cập vào phần dữ liệu nhạy cảm như nhật ký email.
Tuy nhiên, tình hình thực tế cho thấy mối nguy vẫn còn rất lớn. Thống kê từ WordPress.org cho thấy chỉ khoảng 48,5% người dùng đã cập nhật lên phiên bản an toàn. Hơn 200.000 website vẫn dùng phiên bản dễ bị tấn công, tạo điều kiện cho tin tặc khai thác từ tài khoản cấp thấp. Đáng chú ý, khoảng 96.800 website trong số đó vẫn đang chạy các phiên bản thuộc nhánh 2.x. Đây là các bản rất cũ, không chỉ dính lỗ hổng CVE-2025-24000 mà còn tồn tại nhiều vấn đề bảo mật khác chưa từng được khắc phục.
Thực trạng này cho thấy một nguy cơ lớn đang lặng lẽ rình rập trong cộng đồng người dùng WordPress. Nhiều website vẫn chưa được cập nhật dù bản vá đã có sẵn. Điều này vô tình tạo ra một “cánh cửa mở” cho những kẻ tấn công, đặc biệt là các chiến dịch chiếm quyền quản trị từ các tài khoản cấp thấp. Trong bối cảnh các vụ tấn công mạng ngày càng phổ biến và tinh vi, việc trì hoãn cập nhật phần mềm dù chỉ một thời gian ngắn cũng có thể phải trả giá bằng uy tín, dữ liệu và toàn bộ hoạt động của một trang web.
Lỗ hổng nguy hiểm này được gán mã định danh CVE-2025-24000 với điểm CVSS là 8,8. Vấn đề bắt nguồn từ một sai sót trong cơ chế kiểm soát truy cập tại các điểm cuối REST API của plugin. Đây là phần đảm nhiệm việc giao tiếp giữa plugin và hệ thống WordPress. Cụ thể, thay vì kiểm tra kỹ quyền hạn của người dùng trước khi cho phép truy cập các chức năng nhạy cảm, hệ thống lại chỉ xác nhận rằng người đó đã đăng nhập. Điều này có nghĩa là ngay cả những tài khoản có quyền rất thấp như Subscriber, vốn chỉ được phép đọc bài viết hoặc chỉnh sửa hồ sơ cá nhân, cũng có thể truy cập vào phần nhật ký email của hệ thống.
Nguy hiểm ở chỗ các nhật ký này không chỉ lưu lại thông tin cơ bản như tiêu đề hay thời điểm gửi mà còn chứa toàn bộ nội dung email đã gửi đi. Tin tặc có thể lợi dụng lỗ hổng này để âm thầm theo dõi các thư điện tử nội bộ, trong đó có cả email hướng dẫn đặt lại mật khẩu. Chỉ cần có một tài khoản cấp thấp và một vài thao tác đơn giản, kẻ tấn công hoàn toàn có thể yêu cầu hệ thống gửi lại mật khẩu cho tài khoản quản trị rồi đọc thư đặt lại trong phần nhật ký. Từ đó, chúng dễ dàng giành quyền kiểm soát website mà không cần vượt qua thêm lớp bảo vệ nào. Đây là hành vi tuy đơn giản nhưng hiệu quả và hoàn toàn hợp lệ trong mắt hệ thống.
Ngay sau khi nhận được cảnh báo từ cộng đồng bảo mật, nhà phát triển plugin là Saad Iqbal đã nhanh chóng phối hợp cùng hãng bảo mật PatchStack để xử lý vấn đề. Bản vá được phát hành trong phiên bản Post SMTP 3.3.0 vào ngày 11/6. Bản cập nhật này bổ sung cơ chế kiểm tra quyền người dùng trong hàm get_logs_permission, từ đó ngăn chặn các tài khoản trái phép truy cập vào phần dữ liệu nhạy cảm như nhật ký email.
Tuy nhiên, tình hình thực tế cho thấy mối nguy vẫn còn rất lớn. Thống kê từ WordPress.org cho thấy chỉ khoảng 48,5% người dùng đã cập nhật lên phiên bản an toàn. Hơn 200.000 website vẫn dùng phiên bản dễ bị tấn công, tạo điều kiện cho tin tặc khai thác từ tài khoản cấp thấp. Đáng chú ý, khoảng 96.800 website trong số đó vẫn đang chạy các phiên bản thuộc nhánh 2.x. Đây là các bản rất cũ, không chỉ dính lỗ hổng CVE-2025-24000 mà còn tồn tại nhiều vấn đề bảo mật khác chưa từng được khắc phục.
Thực trạng này cho thấy một nguy cơ lớn đang lặng lẽ rình rập trong cộng đồng người dùng WordPress. Nhiều website vẫn chưa được cập nhật dù bản vá đã có sẵn. Điều này vô tình tạo ra một “cánh cửa mở” cho những kẻ tấn công, đặc biệt là các chiến dịch chiếm quyền quản trị từ các tài khoản cấp thấp. Trong bối cảnh các vụ tấn công mạng ngày càng phổ biến và tinh vi, việc trì hoãn cập nhật phần mềm dù chỉ một thời gian ngắn cũng có thể phải trả giá bằng uy tín, dữ liệu và toàn bộ hoạt động của một trang web.
Theo Bleeping Computer