Lỗ hổng ACF Extended cho phép chiếm quyền 100.000 website WordPress

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.514 bài viết
Lỗ hổng ACF Extended cho phép chiếm quyền 100.000 website WordPress
WhiteHat Team
Một lỗ hổng nghiêm trọng vừa được phát hiện trong Advanced Custom Fields Extended (ACF Extended), plugin WordPress phổ biến với hơn 100.000 lượt cài đặt, cho phép tin tặc chiếm toàn quyền kiểm soát website chỉ bằng một yêu cầu không cần xác thực. Lỗ hổng được định danh là CVE-2025-14533, đạt điểm CVSS 9.8, mức gần tối đa trong thang đánh giá mức độ nguy hiểm.
acf.png

Theo công bố từ Wordfence, vấn đề bắt nguồn từ cách plugin xử lý các biểu mẫu liên quan đến tài khoản người dùng. Cụ thể, trong hàm insert_user thuộc lớp acfe_module_form_action_user, hệ thống không kiểm tra đầy đủ quyền hạn khi biểu mẫu có chứa trường vai trò người dùng. Điều này khiến các thiết lập giới hạn do quản trị viên cấu hình gần như bị vô hiệu ở tầng xử lý phía máy chủ.

Nói cách khác, nếu một biểu mẫu có trường role, tin tặc có thể tự gán vai trò cho tài khoản được tạo, kể cả quyền administrator, bất chấp các ràng buộc đã được thiết lập trước đó. Đây là lỗi kiểm soát truy cập điển hình, nhưng hậu quả lại đặc biệt nghiêm trọng vì nó tác động trực tiếp đến cơ chế phân quyền cốt lõi của WordPress.

Khi đã có quyền quản trị, tin tặc gần như toàn quyền thao túng website. Chúng có thể cài đặt plugin hoặc giao diện chứa mã độc, tải lên các tệp nén gài backdoor, chỉnh sửa nội dung để phát tán mã độc hoặc chuyển hướng người dùng sang các trang lừa đảo. Trên thực tế, việc leo thang đặc quyền thành công đồng nghĩa với việc website đã bị xâm nhập hoàn toàn.

Tuy mức độ nguy hiểm rất cao, nhưng CVE-2025-14533 này chỉ có thể bị khai thác trong một số cấu hình nhất định. Cụ thể, website phải sử dụng biểu mẫu có hành động tạo hoặc cập nhật người dùng và có thêm trường vai trò. Theo đánh giá của Wordfence, không phải tất cả các website cài plugin đều rơi vào kịch bản này, nhưng những hệ thống đáp ứng điều kiện trên đang đối mặt với rủi ro đặc biệt nghiêm trọng.

CVE-2025-14533 được phát hiện bởi nhà nghiên cứu bảo mật Andrea Bocchetti thông qua chương trình Bug Bounty của Wordfence. Bản vá đã được phát hành trong phiên bản 0.9.2.2 và Wordfence kêu gọi quản trị viên WordPress cập nhật ngay lập tức để tránh nguy cơ bị chiếm quyền. Với phát hiện này, Andrea Bocchetti đã nhận khoản thưởng 975 USD.

Sự cố một lần nữa cho thấy các lỗ hổng leo thang đặc quyền trong plugin WordPress, đặc biệt là những thành phần xử lý biểu mẫu và tài khoản người dùng, vẫn đang là mục tiêu hấp dẫn đối với tin tặc và là rủi ro thường bị đánh giá thấp trong quá trình vận hành website.
Theo Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Camera TP-Link VIGI dính lỗi nghiêm trọng khiến tin tặc có thể tự đổi mật khẩu
  • Lộ lỗ hổng nguy hiểm trong hệ thống quảng cáo Meta, đe dọa an toàn tài khoản Facebook
  • Windows Admin Center dính lỗi nặng, nguy cơ mất quyền kiểm soát cả Azure
  • Cisco vá khẩn cấp lỗ hổng zero-day 10 điểm đang bị nhóm tin tặc khai thác
  • Plugin WordPress Modular DS dính lỗ hổng nghiêm trọng cho phép chiếm quyền quản trị
  • Lỗ hổng Reprompt trong Copilot cho phép đánh cắp dữ liệu chỉ với một lần "Click"
    • Thẻ
    advanced custom fields extended cve-2025-14533 wordfence wordpress
    Bên trên