-
09/04/2020
-
122
-
1.288 bài viết
Sneeit Framework dính lỗi RCE nghiêm trọng, đe dọa hàng loạt website WordPress
Một lỗ hổng nghiêm trọng trong Sneeit Framework, plugin được dùng làm nền tảng cho nhiều theme WordPress, đang bị khai thác mạnh trên diện rộng. Lỗ hổng này mang mã CVE-2025-6389, có điểm CVSS 9.8 và cho phép thực thi mã từ xa mà không cần đăng nhập. Những website chạy Sneeit Framework phiên bản 8.3 trở xuống đều nằm trong vùng rủi ro cao.
Lỗi xuất phát từ cách plugin xử lý phân trang bài viết. Hàm sneeit_articles_pagination_callback nhận dữ liệu từ người dùng và chuyển thẳng vào call_user_func của PHP. Khi không có bất kỳ cơ chế kiểm soát nào, luồng dữ liệu này vô tình mở đường cho việc gọi và thực thi các hàm tùy ý trên máy chủ. Đây là điều kiện lý tưởng để tin tặc chèn mã độc, bởi chỉ một yêu cầu gửi đến đúng endpoint cũng đủ để kích hoạt chuỗi tấn công.
Khi CVE‑2025‑6389 cho phép kẻ tấn công thực thi mã từ xa mà không cần đăng nhập, toàn bộ hệ thống ngay lập tức bị đặt vào tình thế nguy hiểm. Với quyền can thiệp trực tiếp vào máy chủ, tin tặc có thể tải lên webshell để duy trì hiện diện, tạo tài khoản quản trị giả mạo hoặc chỉnh sửa các tệp trong theme để cài backdoor. Một khi những thay đổi này được thiết lập, website gần như mất hoàn toàn khả năng phòng vệ và nguy cơ bị mở rộng tấn công sang máy chủ lưu trữ chỉ còn là vấn đề thời gian.
Tình hình càng nghiêm trọng khi các hệ thống giám sát ghi nhận lượng khai thác tăng mạnh. Chỉ trong 24 giờ gần nhất, đã có 491 cuộc tấn công bị chặn nhắm vào lỗ hổng này. Điều đó cho thấy CVE‑2025‑6389 đã nằm trong bộ công cụ khai thác tự động, được botnet và các actor cơ hội sử dụng rộng rãi. Các website chưa vá gần như không có cơ hội tránh bị tấn công.
CVE‑2025‑6389 không chỉ ảnh hưởng tới một trang web đơn lẻ. Nhiều theme thương mại như FlatNews - chuyên dùng cho các trang báo điện tử cũng dựa hoàn toàn vào Sneeit Framework để vận hành. Khi plugin tồn tại lỗi, toàn bộ hệ thống website gặp nguy cơ. Đối với các trang có lưu lượng truy cập cao hoặc hoạt động trong lĩnh vực báo chí, truyền thông và thương mại điện tử, kẻ tấn công có thể đánh cắp dữ liệu, rò rỉ thông tin người dùng hoặc cài mã độc để phát tán sang khách truy cập. Lỗi này có thể khiến toàn bộ website mất kiểm soát và trở thành công cụ phục vụ các cuộc tấn công tiếp theo.
Nhà phát triển đã phát hành bản Sneeit Framework 8.4 để khắc phục CVE‑2025‑6389. Quản trị viên cần cập nhật ngay lập tức hoặc tạm thời vô hiệu hóa plugin nếu chưa thể nâng cấp, đồng thời kiểm tra dấu hiệu xâm nhập như tài khoản lạ, file bị sửa đổi hoặc webshell nằm trong thư mục plugin và theme. Đây là biện pháp bắt buộc nhằm tránh nguy cơ bị chiếm quyền toàn bộ website trong bối cảnh lỗ hổng đang bị lợi dụng mạnh mẽ.
Lỗi xuất phát từ cách plugin xử lý phân trang bài viết. Hàm sneeit_articles_pagination_callback nhận dữ liệu từ người dùng và chuyển thẳng vào call_user_func của PHP. Khi không có bất kỳ cơ chế kiểm soát nào, luồng dữ liệu này vô tình mở đường cho việc gọi và thực thi các hàm tùy ý trên máy chủ. Đây là điều kiện lý tưởng để tin tặc chèn mã độc, bởi chỉ một yêu cầu gửi đến đúng endpoint cũng đủ để kích hoạt chuỗi tấn công.
Khi CVE‑2025‑6389 cho phép kẻ tấn công thực thi mã từ xa mà không cần đăng nhập, toàn bộ hệ thống ngay lập tức bị đặt vào tình thế nguy hiểm. Với quyền can thiệp trực tiếp vào máy chủ, tin tặc có thể tải lên webshell để duy trì hiện diện, tạo tài khoản quản trị giả mạo hoặc chỉnh sửa các tệp trong theme để cài backdoor. Một khi những thay đổi này được thiết lập, website gần như mất hoàn toàn khả năng phòng vệ và nguy cơ bị mở rộng tấn công sang máy chủ lưu trữ chỉ còn là vấn đề thời gian.
Tình hình càng nghiêm trọng khi các hệ thống giám sát ghi nhận lượng khai thác tăng mạnh. Chỉ trong 24 giờ gần nhất, đã có 491 cuộc tấn công bị chặn nhắm vào lỗ hổng này. Điều đó cho thấy CVE‑2025‑6389 đã nằm trong bộ công cụ khai thác tự động, được botnet và các actor cơ hội sử dụng rộng rãi. Các website chưa vá gần như không có cơ hội tránh bị tấn công.
CVE‑2025‑6389 không chỉ ảnh hưởng tới một trang web đơn lẻ. Nhiều theme thương mại như FlatNews - chuyên dùng cho các trang báo điện tử cũng dựa hoàn toàn vào Sneeit Framework để vận hành. Khi plugin tồn tại lỗi, toàn bộ hệ thống website gặp nguy cơ. Đối với các trang có lưu lượng truy cập cao hoặc hoạt động trong lĩnh vực báo chí, truyền thông và thương mại điện tử, kẻ tấn công có thể đánh cắp dữ liệu, rò rỉ thông tin người dùng hoặc cài mã độc để phát tán sang khách truy cập. Lỗi này có thể khiến toàn bộ website mất kiểm soát và trở thành công cụ phục vụ các cuộc tấn công tiếp theo.
Nhà phát triển đã phát hành bản Sneeit Framework 8.4 để khắc phục CVE‑2025‑6389. Quản trị viên cần cập nhật ngay lập tức hoặc tạm thời vô hiệu hóa plugin nếu chưa thể nâng cấp, đồng thời kiểm tra dấu hiệu xâm nhập như tài khoản lạ, file bị sửa đổi hoặc webshell nằm trong thư mục plugin và theme. Đây là biện pháp bắt buộc nhằm tránh nguy cơ bị chiếm quyền toàn bộ website trong bối cảnh lỗ hổng đang bị lợi dụng mạnh mẽ.
Theo Security Online