-
09/04/2020
-
122
-
1.385 bài viết
Lỗ hổng trong plugin Elementor mở cửa cho tin tặc chiếm quyền WordPress
Một lỗ hổng nghiêm trọng vừa được phát hiện trong plugin King Addons for Elementor, đẩy hàng nghìn website WordPress vào nguy cơ bị chiếm quyền điều khiển chỉ bằng một yêu cầu gửi lên máy chủ.
Lỗ hổng được gán mã CVE-2025-8489 cho phép kẻ tấn công chưa xác thực tự tạo tài khoản mới với đặc quyền quản trị viên thông qua một chức năng đăng ký thiếu an toàn của plugin.Theo các chuyên gia, CVE-2025-8489 đặc biệt nguy hiểm vì King Addons for Elementor hiện có hơn 10.000 lượt cài đặt đang hoạt động. Vấn đề ảnh hưởng đến các phiên bản từ 24.12.92 đến 51.1.14.
Nguyên nhân nằm ở đoạn mã xử lý đăng ký người dùng của plugin, vốn không giới hạn đúng quyền được phép gán trong quá trình tạo tài khoản. Chỉ cần gửi một yêu cầu tùy chỉnh tới tệp admin-ajax.php và đặt trường “user_role” thành “administrator”, kẻ tấn công có thể tạo tài khoản quản trị viên mới mà không cần đăng nhập hay có bất kỳ quyền truy cập nào trước đó. Khi đặc quyền quản trị bị chiếm đoạt, toàn bộ website gần như nằm trong tay tin tặc: cài plugin hoặc theme cài cắm backdoor, chỉnh sửa nội dung, chuyển hướng người xem sang trang độc hại hoặc chèn mã spam và lừa đảo. Đây cũng chính là lý do CVE-2025-8489 được giới nghiên cứu cảnh báo mạnh mẽ.
Với điểm CVSS 9.8, CVE-2025-8489 được đánh giá ở mức đặc biệt nghiêm trọng vì có thể mở đường cho kẻ tấn công kiểm soát toàn bộ website. Để khắc phục, nhà phát triển đã phát hành bản vá 51.1.35 vào ngày 25/9/2025.
Trước đó, Wordfence đã thêm quy tắc tường lửa để ngăn chặn việc khai thác CVE-2025-8489 cho người dùng Premium, Care và Response từ ngày 4/8/2025, và mở rộng bảo vệ cho người dùng miễn phí từ ngày 3/9/2025. Dù vậy, tin tặc đã bắt đầu khai thác thực tế ngay sau khi thông tin về CVE-2025-8489 được công bố rộng rãi vào ngày 30/10/2025.
Theo thống kê của Wordfence, tường lửa của họ đã chặn hơn 48.400 nỗ lực tấn công nhắm vào CVE-2025-8489, với lưu lượng tăng vọt vào các ngày 9 và 10/11. Một số địa chỉ IP bị xác định là nguồn phát tán tấn công nhiều nhất gồm 45.61.157.120 và 2602:fa59:3:424::1, mỗi địa chỉ gây ra hàng chục nghìn yêu cầu độc hại. Các IP như 182.8.226.228, 138.199.21.230 và 206.238.221.25 cũng ghi nhận hàng trăm lần thử khai thác.
Chủ website sử dụng King Addons for Elementor được khuyến nghị cập nhật ngay lên phiên bản 51.1.35 hoặc mới hơn, đồng thời kiểm tra xem có tài khoản quản trị viên lạ xuất hiện hay không. Ngoài ra, cần rà soát nhật ký máy chủ và nhật ký truy cập để phát hiện các yêu cầu liên quan đến CVE-2025-8489, cũng như theo dõi mọi thay đổi bất thường trong nội dung, plugin hoặc theme.
Lỗ hổng được gán mã CVE-2025-8489 cho phép kẻ tấn công chưa xác thực tự tạo tài khoản mới với đặc quyền quản trị viên thông qua một chức năng đăng ký thiếu an toàn của plugin.Theo các chuyên gia, CVE-2025-8489 đặc biệt nguy hiểm vì King Addons for Elementor hiện có hơn 10.000 lượt cài đặt đang hoạt động. Vấn đề ảnh hưởng đến các phiên bản từ 24.12.92 đến 51.1.14.
Nguyên nhân nằm ở đoạn mã xử lý đăng ký người dùng của plugin, vốn không giới hạn đúng quyền được phép gán trong quá trình tạo tài khoản. Chỉ cần gửi một yêu cầu tùy chỉnh tới tệp admin-ajax.php và đặt trường “user_role” thành “administrator”, kẻ tấn công có thể tạo tài khoản quản trị viên mới mà không cần đăng nhập hay có bất kỳ quyền truy cập nào trước đó. Khi đặc quyền quản trị bị chiếm đoạt, toàn bộ website gần như nằm trong tay tin tặc: cài plugin hoặc theme cài cắm backdoor, chỉnh sửa nội dung, chuyển hướng người xem sang trang độc hại hoặc chèn mã spam và lừa đảo. Đây cũng chính là lý do CVE-2025-8489 được giới nghiên cứu cảnh báo mạnh mẽ.
Với điểm CVSS 9.8, CVE-2025-8489 được đánh giá ở mức đặc biệt nghiêm trọng vì có thể mở đường cho kẻ tấn công kiểm soát toàn bộ website. Để khắc phục, nhà phát triển đã phát hành bản vá 51.1.35 vào ngày 25/9/2025.
Trước đó, Wordfence đã thêm quy tắc tường lửa để ngăn chặn việc khai thác CVE-2025-8489 cho người dùng Premium, Care và Response từ ngày 4/8/2025, và mở rộng bảo vệ cho người dùng miễn phí từ ngày 3/9/2025. Dù vậy, tin tặc đã bắt đầu khai thác thực tế ngay sau khi thông tin về CVE-2025-8489 được công bố rộng rãi vào ngày 30/10/2025.
Theo thống kê của Wordfence, tường lửa của họ đã chặn hơn 48.400 nỗ lực tấn công nhắm vào CVE-2025-8489, với lưu lượng tăng vọt vào các ngày 9 và 10/11. Một số địa chỉ IP bị xác định là nguồn phát tán tấn công nhiều nhất gồm 45.61.157.120 và 2602:fa59:3:424::1, mỗi địa chỉ gây ra hàng chục nghìn yêu cầu độc hại. Các IP như 182.8.226.228, 138.199.21.230 và 206.238.221.25 cũng ghi nhận hàng trăm lần thử khai thác.
Chủ website sử dụng King Addons for Elementor được khuyến nghị cập nhật ngay lên phiên bản 51.1.35 hoặc mới hơn, đồng thời kiểm tra xem có tài khoản quản trị viên lạ xuất hiện hay không. Ngoài ra, cần rà soát nhật ký máy chủ và nhật ký truy cập để phát hiện các yêu cầu liên quan đến CVE-2025-8489, cũng như theo dõi mọi thay đổi bất thường trong nội dung, plugin hoặc theme.
Theo Cyber Security News