Một lỗ hổng bảo mật vừa được phát hiện trong giao diện Alone - một theme WordPress nổi tiếng dành cho các tổ chức từ thiện. Lỗ hổng này đã bị tin tặc khai thác hơn 120.000 lần, với nguy cơ cao khiến toàn bộ website bị chiếm quyền kiểm soát.
Lỗ hổng được định danh là CVE-2025-5394, đạt điểm 9,8/10 theo thang CVSS, tức là ở mức nghiêm trọng nhất. Nó ảnh hưởng đến mọi phiên bản của giao diện Alone trước bản 7.8.5, với hơn 9.000 lượt mua trên nền tảng ThemeForest. Nếu bạn đang sử dụng theme này cho website WordPress của mình, bạn đang nằm trong vùng nguy hiểm.
Lỗi nằm trong hàm alone_import_pack_install_plugin() - một chức năng cho phép cài plugin đi kèm theme. Tuy nhiên, hàm này không kiểm tra quyền truy cập, khiến bất kỳ ai cũng có thể gửi yêu cầu tải file từ xa, giả dạng plugin rồi tải mã độc trực tiếp lên website.
Điều này giúp tin tặc:
Các mã độc được tải lên từ nhiều tên miền nguy hiểm như cta.imasync[.]com, dari-slideshow[.]ru hoặc mc-cilinder[.]nl.
Hacker dùng PowerShell, mã nén ZIP và đoạn script để:
Ngoài ra, cần xem lại các thư mục plugin để tìm dấu hiệu lạ như:
Vụ việc lần này là lời nhắc nhở rõ ràng rằng không chỉ plugin, mà theme cũng có thể là “cửa sau” dẫn mã độc vào website. Với mức độ phổ biến của WordPress, hacker đang ngày càng nhắm vào những thành phần ít được để ý như giao diện hoặc script bên trong theme.
Việc cập nhật thường xuyên, kiểm tra định kỳ và chủ động bảo vệ website sẽ là lớp phòng thủ quan trọng nhất trong thế giới số đầy rẫy cạm bẫy hiện nay.
Lỗ hổng được định danh là CVE-2025-5394, đạt điểm 9,8/10 theo thang CVSS, tức là ở mức nghiêm trọng nhất. Nó ảnh hưởng đến mọi phiên bản của giao diện Alone trước bản 7.8.5, với hơn 9.000 lượt mua trên nền tảng ThemeForest. Nếu bạn đang sử dụng theme này cho website WordPress của mình, bạn đang nằm trong vùng nguy hiểm.
Lỗi nằm trong hàm alone_import_pack_install_plugin() - một chức năng cho phép cài plugin đi kèm theme. Tuy nhiên, hàm này không kiểm tra quyền truy cập, khiến bất kỳ ai cũng có thể gửi yêu cầu tải file từ xa, giả dạng plugin rồi tải mã độc trực tiếp lên website.
- Tải lên file ZIP chứa mã độc từ server riêng.
- Chạy mã trực tiếp và kiểm soát toàn bộ site (remote code execution).
- Tạo tài khoản quản trị giả, backdoor, hoặc quản lý file trái phép.
Các mã độc được tải lên từ nhiều tên miền nguy hiểm như cta.imasync[.]com, dari-slideshow[.]ru hoặc mc-cilinder[.]nl.
Hacker dùng PowerShell, mã nén ZIP và đoạn script để:
- Cài đặt file quản trị ngầm
- Tạo cửa hậu (backdoor)
- Đưa mã độc vào thư mục plugin
- IP tấn công chủ yếu đến từ 193.84.71.244 và 87.120.92.24, với tổng cộng gần 80.000 lượt tấn công bị chặn
Ngoài ra, cần xem lại các thư mục plugin để tìm dấu hiệu lạ như:
- Plugin không rõ nguồn gốc
- Plugin có ngày tạo gần đây mà bạn không cài
- Cập nhật ngay giao diện Alone lên bản 7.8.5 nếu bạn đang dùng theme này
- Cài đặt và sử dụng plugin bảo mật có tường lửa như Wordfence hoặc Sucuri
- Kiểm tra website định kỳ, đặc biệt là các plugin hoặc theme cũ không cập nhật
- Không nên dùng theme hoặc plugin crack, hoặc từ nguồn không rõ ràng
Vụ việc lần này là lời nhắc nhở rõ ràng rằng không chỉ plugin, mà theme cũng có thể là “cửa sau” dẫn mã độc vào website. Với mức độ phổ biến của WordPress, hacker đang ngày càng nhắm vào những thành phần ít được để ý như giao diện hoặc script bên trong theme.
Việc cập nhật thường xuyên, kiểm tra định kỳ và chủ động bảo vệ website sẽ là lớp phòng thủ quan trọng nhất trong thế giới số đầy rẫy cạm bẫy hiện nay.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview