Lỗ hổng W3 Total Cache mở cửa cho hacker chiếm quyền hơn 1 triệu website

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.271 bài viết
Lỗ hổng W3 Total Cache mở cửa cho hacker chiếm quyền hơn 1 triệu website
WhiteHat Team
Một lỗ hổng bảo mật vừa được phát hiện trong W3 Total Cache, đẩy hơn 1 triệu website toàn cầu vào tình trạng báo động đỏ. Điểm đáng lo ngại là kẻ tấn công không cần tài khoản, không cần đăng nhập và cũng không cần kỹ năng cao. Chỉ một bình luận chứa mã độc gửi lên bài viết bất kỳ cũng đủ để kẻ xấu chiếm toàn quyền điều khiển website.

1763543314573.png

Với mức điểm CVSS 9,0 thì lỗ hổng CVE-2025-9501 đang trở thành một trong những nguy cơ lớn nhất với hệ sinh thái WordPress ở thời điểm hiện tại. Vậy điều gì đang thực sự xảy ra, vì sao lỗ hổng lại nguy hiểm đến vậy và người quản trị cần làm gì ngay lập tức?

1. Lỗ hổng nằm ở đâu và bị phát hiện như thế nào?​

Lỗ hổng CVE-2025-9501 được phát hiện ngày 27/10/2025 trong W3 Total Cache - plugin có chức năng tăng tốc website bằng cách lưu đệm nội dung. Plugin này được sử dụng bởi hơn 1 triệu trang WordPress, bao gồm cả website doanh nghiệp, báo chí, thương mại điện tử và nhiều hệ thống lớn khác.

Lỗi xuất phát từ hàm “_parse_dynamic_mfunc”, một thành phần xử lý nội dung động của website. Do kiểm soát đầu vào không đầy đủ, hàm này vô tình cho phép chạy các đoạn mã do người dùng gửi lên.

Chính điều này mở đường cho một dạng tấn công cực kỳ nguy hiểm “unauthenticated command injection”, chèn và thực thi mã tùy ý mà không cần đăng nhập.

2. Cơ chế tấn công: Chỉ một bình luận cũng đủ chiếm cả website​

Kẻ tấn công chỉ cần thực hiện ba bước đơn giản:
  1. Xác định website đang sử dụng W3 Total Cache phiên bản dưới 2.8.13.
  2. Tìm một bài viết mở bình luận công khai.
  3. Gửi một bình luận chứa mã PHP độc hại.
Ngay khi plugin xử lý nội dung bình luận đó, mã độc sẽ được thực thi với toàn quyền của website.

3. Vì sao lỗ hổng này đặc biệt nguy hiểm?​

Có 4 yếu tố khiến CVE-2025-9501 trở thành “miếng mồi” hấp dẫn cho tin tặc:
  • Không yêu cầu đăng nhập: Ai cũng có thể thực hiện tấn công, kể cả người không có tài khoản.
  • Tấn công từ xa, không cần tương tác người dùng: Website chỉ cần mở bình luận là đủ.
  • Rất dễ khai thác: Kỹ năng cần thiết gần như bằng 0, chỉ cần gửi comment chứa mã độc.
  • Plugin cực kỳ phổ biến: Hơn 1 triệu website sử dụng, khiến phạm vi tấn công rộng chưa từng có.

4. Mức độ ảnh hưởng và thiệt hại có thể xảy ra​

Nếu bị khai thác thành công, kẻ tấn công có thể:
  • Chiếm quyền điều khiển toàn bộ website WordPress
  • Đánh cắp dữ liệu người dùng, thông tin cá nhân
  • Chèn mã độc, cửa hậu (backdoor) để truy cập lâu dài
  • Sửa giao diện, chèn nội dung xấu hoặc chuyển hướng người dùng
  • Triển khai mã độc lan rộng sang các website khác
  • Chiếm server để đào tiền ảo hoặc thực hiện tấn công DDoS
Đáng chú ý, lỗ hổng đã bị công bố trước 3 tuần khi tin tức bắt đầu lan rộng, nghĩa là kẻ tấn công đã có một khoảng thời gian đủ lớn để dò tìm và khai thác các website chưa kịp cập nhật.

5. Vì sao sự cố ảnh hưởng lớn đến người dùng Internet phổ thông?​

Nhiều website bán hàng, trường học, doanh nghiệp, diễn đàn và báo chí sử dụng WordPress vì tính phổ biến và dễ triển khai. Khi các website này bị chiếm quyền điều khiển:
  • Người dùng có thể bị chuyển hướng sang trang lừa đảo
  • Tải phải file độc hại
  • Bị đánh cắp tài khoản hoặc thông tin thanh toán
  • Gặp nguy cơ bị cài mã độc khi truy cập
Do đó, đây không chỉ là vấn đề của quản trị website, mà là rủi ro trực tiếp cho hàng triệu người dùng Internet.

6. Nguyên nhân cốt lõi: Kiểm soát đầu vào không chặt chẽ​

Lõi của vấn đề nằm ở việc plugin xử lý nội dung động không kiểm tra chặt chẽ dữ liệu từ người dùng gửi lên. Những dữ liệu tưởng chừng vô hại – như nội dung một bình luận – lại được plugin đưa vào quá trình xử lý mã, tạo thành lỗ hổng thực thi code.

Những sai sót kiểu này từng xuất hiện ở nhiều plugin WordPress khác, phản ánh bài toán lớn hơn:
  • Hệ sinh thái WordPress quá rộng
  • Nhiều plugin do các nhóm nhỏ phát triển
  • Quy trình kiểm thử bảo mật không đồng đều
  • Cập nhật không kịp thời
WordPress chắc chắn vẫn tồn tại những rủi ro nếu phụ thuộc vào các plugin không được cập nhật thường xuyên. Khi một plugin lớn như W3 Total Cache gặp lỗ hổng, hậu quả có thể ảnh hưởng đến hàng triệu website và hàng chục triệu người dùng Internet. Trong bối cảnh lỗ hổng đã bị công bố và đang bị khai thác tích cực, quản trị viên WordPress cần hành động ngay lập tức để bảo vệ hệ thống.

Khuyến cáo ngay lập tức cho các quản trị website

  • Cập nhật W3 Total Cache lên phiên bản 2.8.13 hoặc mới hơn.
  • Kiểm tra nhật ký (log) từ 27/10/2025 đến nay để phát hiện:
    • bình luận lạ
    • thay đổi tệp bất thường
    • file backdoor
  • Xóa bình luận chưa được kiểm duyệt nếu website cho phép comment công khai.
  • Hạn chế bình luận chỉ cho người dùng đã đăng ký.
  • Sử dụng plugin bảo mật để phát hiện mã độc và tệp bị chỉnh sửa.
  • Duy trì sao lưu định kỳ cả database và mã nguồn.
Trong thế giới số, chỉ một dòng mã sai cũng có thể khiến cả hệ thống sụp đổ. Cập nhật phần mềm và thiết lập cơ chế bảo vệ nhiều lớp không chỉ là khuyến cáo mà còn là yêu cầu bắt buộc với mọi website hiện nay.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Những con số ác mộng khi cả Internet phụ thuộc vào Cloudflare
  • Google phát hành bản vá khẩn cấp cho hai lỗ hổng nguy hiểm trong Chrome V8
  • FortiWeb nằm trong tâm ngắm của tin tặc vì lỗ hổng bypass xác thực nghiêm trọng
  • NeMo Framework của NVIDIA gặp hai lỗ hổng nghiêm trọng, đe dọa toàn bộ pipeline AI
  • Chiến dịch ClickFix lộng hành, giả mạo Booking.com gieo rắc mã độc toàn cầu
  • Lỗ hổng trong Microsoft SQL Server cho phép chiếm quyền quản trị trên nhiều phiên bản
    • Bên trên