-
09/04/2020
-
141
-
1.991 bài viết
Lỗ hổng nghiêm trọng trong plugin Avada Builder đe dọa hơn 1 triệu website WordPress
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong plugin Avada Builder (Fusion Builder) dành cho WordPress, ảnh hưởng tới hơn 1 triệu website và có thể bị lợi dụng để xóa các tệp quan trọng trên máy chủ. Trong những điều kiện nhất định, lỗ hổng này thậm chí có thể dẫn tới chiếm quyền kiểm soát website và thực thi mã từ xa.
Được theo dõi với mã CVE-2026-8713 và điểm CVSS 9.1/10, lỗ hổng được đánh giá ở mức nghiêm trọng do có thể bị khai thác từ xa mà không cần xác thực trong những điều kiện nhất định. Lỗi được nhà nghiên cứu bảo mật có biệt danh "daroo" phát hiện và báo cáo thông qua chương trình săn lỗi của Wordfence, qua đó nhận khoản tiền thưởng 3.600 USD. Theo Wordfence, lỗ hổng ảnh hưởng đến tất cả phiên bản Avada Builder từ 3.15.3 trở về trước và đã được nhà phát triển khắc phục trong phiên bản 3.15.4.
CVE-2026-8713 ảnh hưởng đến tính năng Form Builder của Avada khi biểu mẫu được cấu hình lưu dữ liệu vào cơ sở dữ liệu. Do plugin không kiểm tra đầy đủ đường dẫn tệp trước khi thực hiện thao tác xóa, kẻ tấn công có thể lợi dụng kỹ thuật path traversal để thao túng vị trí tệp mà hệ thống xử lý, từ đó vượt ra ngoài thư mục lưu trữ mặc định của plugin và nhắm tới các tệp khác trên máy chủ.
Trong một kịch bản khai thác, đối tượng tấn công có thể gửi dữ liệu biểu mẫu chứa các chuỗi "../" được tạo đặc biệt nhằm điều hướng tới những tệp quan trọng như wp-config.php. Do thiếu cơ chế xác thực và kiểm tra đường dẫn cuối cùng sau khi xử lý, plugin vẫn chấp nhận dữ liệu này trong quá trình dọn dẹp dữ liệu tự động liên quan đến quyền riêng tư, sau đó gọi hàm xóa tệp của WordPress để xóa tệp được chỉ định.
Đáng chú ý, việc khai thác không yêu cầu xác thực và cũng không cần bất kỳ tương tác nào từ quản trị viên. Điều kiện duy nhất là website tồn tại một biểu mẫu Avada công khai được cấu hình lưu dữ liệu vào cơ sở dữ liệu.
Nếu kẻ tấn công xóa thành công các tệp quan trọng như wp-config.php, website WordPress có thể bị đưa về trạng thái cài đặt ban đầu. Khi đó, đối tượng tấn công có thể lợi dụng quy trình thiết lập lại để kết nối website với cơ sở dữ liệu do chúng kiểm soát, từ đó chiếm toàn bộ quyền quản trị hệ thống. Trong một số trường hợp, chuỗi tấn công này còn có thể mở đường cho việc thực thi mã từ xa trên máy chủ.
Mức độ nghiêm trọng của CVE-2026-8713 không chỉ nằm ở khả năng xóa tệp tùy ý mà còn ở việc lỗ hổng có thể bị khai thác từ xa mà không yêu cầu xác thực. Với hơn một triệu website đang sử dụng Avada Builder cùng điều kiện khai thác tương đối đơn giản, đây được xem là một trong những lỗ hổng WordPress đáng chú ý được công bố trong năm nay.
Theo Wordfence, lỗ hổng được báo cáo vào ngày 13/5/2026 và chuyển tới nhà phát triển sau khi hoàn tất quá trình xác minh. Nhóm phát triển Avada đã phát hành bản sửa lỗi chỉ vài ngày sau đó và chính thức đưa bản vá vào phiên bản 3.15.4 được phát hành ngày 2/6/2026.
Wordfence khuyến cáo các quản trị viên WordPress khẩn trương cập nhật Avada Builder lên phiên bản 3.15.4 hoặc mới hơn để loại bỏ nguy cơ bị khai thác. Hãng cũng cho biết người dùng đang sử dụng tường lửa Wordfence đã được bảo vệ thông qua các quy tắc phát hiện và ngăn chặn những yêu cầu chứa dấu hiệu path traversal, một trong những kỹ thuật cốt lõi được sử dụng trong chuỗi tấn công này.