Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong plugin AI Engine trên WordPress, khiến hơn 100.000 website gặp nguy cơ bị chiếm quyền quản trị chỉ với tài khoản cấp độ thấp (subscriber).
Lỗ hổng bảo mật được định danh là CVE-2025-5071 với xếp hạng CVSS cao là 8,8, ảnh hưởng đến các phiên bản plugin AI Engine từ 2.8.0 đến 2.8.3, cho phép kẻ tấn công đã xác thực với quyền truy cập tối thiểu ở cấp độ người đăng ký có thể giành toàn quyền kiểm soát quản trị đối với các trang web WordPress mục tiêu. Đối tượng bị ảnh hưởng bao gồm các trang cá nhân, doanh nghiệp nhỏ hoặc blog sử dụng plugin này để tích hợp trí tuệ nhân tạo.
Tập trung chủ yếu vào cơ chế ủy quyền không đầy đủ trong chức năng MCP của plugin, cho phép các tác nhân AI như Claude hoặc ChatGPT kiểm soát và quản lý các trang web WordPress bằng cách thực hiện nhiều lệnh khác nhau.
Lỗ hổng xuất phát từ việc kiểm tra quyền truy cập không chính xác trong hàm can_access_mcp(). Thay vì giới hạn tính năng MCP chỉ cho người dùng có vai trò quản trị (administrator), hệ thống lại cho phép bất kỳ người dùng đã đăng nhập (bao gồm cả người dùng) có quyền thấp nhất (subscriber) cũng được phép gửi yêu cầu đến các API nhạy cảm của hệ thống.
Đáng lo ngại hơn, hệ thống sử dụng mô hình xác thực “Bearer token” để phân quyền nhưng nếu người dùng gửi yêu cầu mà không kèm token hoặc token rỗng, hệ thống lại mặc định cho rằng đó là người dùng hợp lệ, dẫn đến lỗ hổng leo thang đặc quyền nghiêm trọng. Tức là chỉ cần đăng nhập, hacker đã có thể gửi các yêu cầu API mang tính quản trị cao mà không bị hệ thống từ chối.
Một khi tiếp cận được MCP, hacker có thể lợi dụng các lệnh như: wp_update_user, install_plugin, activate_plugin hoặc thậm chí thực hiện upload file độc hại để cài đặt webshell, từ đó chiếm quyền điều khiển toàn bộ trang web.
Tóm lại, chuỗi tấn công này cho phép kẻ tấn công khởi đầu chỉ với tài khoản người dùng cấp thấp. Nhưng thông qua việc gửi yêu cầu tới API của MCP, có thể tạo user admin mới, cài plugin độc hại hoặc chỉnh sửa hệ thống tương đương với việc chiếm quyền root của toàn bộ website WordPress.
Tập trung chủ yếu vào cơ chế ủy quyền không đầy đủ trong chức năng MCP của plugin, cho phép các tác nhân AI như Claude hoặc ChatGPT kiểm soát và quản lý các trang web WordPress bằng cách thực hiện nhiều lệnh khác nhau.
Phương thức kỹ thuật & chuỗi tấn công
Lỗ hổng nghiêm trọng được phát hiện trong plugin AI Engine của WordPress liên quan đến một thành phần có tên Model Context Protocol (MCP). Mặc dù MCP không được bật mặc định, nhưng khi quản trị viên chủ động kích hoạt tính năng Dev Tools hoặc tích hợp AI nâng cao, module MCP sẽ được mở và trở thành “cửa ngõ” nguy hiểm cho kẻ tấn công.Lỗ hổng xuất phát từ việc kiểm tra quyền truy cập không chính xác trong hàm can_access_mcp(). Thay vì giới hạn tính năng MCP chỉ cho người dùng có vai trò quản trị (administrator), hệ thống lại cho phép bất kỳ người dùng đã đăng nhập (bao gồm cả người dùng) có quyền thấp nhất (subscriber) cũng được phép gửi yêu cầu đến các API nhạy cảm của hệ thống.
Đáng lo ngại hơn, hệ thống sử dụng mô hình xác thực “Bearer token” để phân quyền nhưng nếu người dùng gửi yêu cầu mà không kèm token hoặc token rỗng, hệ thống lại mặc định cho rằng đó là người dùng hợp lệ, dẫn đến lỗ hổng leo thang đặc quyền nghiêm trọng. Tức là chỉ cần đăng nhập, hacker đã có thể gửi các yêu cầu API mang tính quản trị cao mà không bị hệ thống từ chối.
Một khi tiếp cận được MCP, hacker có thể lợi dụng các lệnh như: wp_update_user, install_plugin, activate_plugin hoặc thậm chí thực hiện upload file độc hại để cài đặt webshell, từ đó chiếm quyền điều khiển toàn bộ trang web.
Tóm lại, chuỗi tấn công này cho phép kẻ tấn công khởi đầu chỉ với tài khoản người dùng cấp thấp. Nhưng thông qua việc gửi yêu cầu tới API của MCP, có thể tạo user admin mới, cài plugin độc hại hoặc chỉnh sửa hệ thống tương đương với việc chiếm quyền root của toàn bộ website WordPress.
Phạm vi & mức độ ảnh hưởng
- Số website ảnh hưởng: >100.000
- Phạm vi: Toàn cầu, bất kỳ site WordPress nào cài plugin bị lỗi và bật MCP
- Hậu quả: Kiểm soát website hoàn toàn, cài backdoor, spam, chuyển hướng sang trang độc, đánh cắp dữ liệu…
Những điểm cần lưu ý
- Lỗ hổng không phải zero-day nhưng phổ biến do chủ trang tự kích hoạt Dev Tools.
- Chiến thuật này nhắm đến quản trị viên thiếu hiểu biết kỹ thuật hoặc quên tắt các module Dev Tools.
Giải pháp & khuyến nghị cho người dùng
- Cập nhật plugin AI Engine lên phiên bản 2.8.4 trở lên, bản vá đã phát hành 18/6/2025. Nếu chưa kịp update:
- Tắt module Dev Tools và Model Context Protocol (MCP).
- Dùng Wordfence (phiên bản mới) để chặn trước khi vá.
- Xem lịch sử thêm user admin không rõ nguồn.
- Kiểm tra plugin lạ, file mới thêm, webshell, v.v.
- Rà soát log REST API liên quan endpoint MCP.
- Tránh bật module chuyên sâu (như MCP) trên môi trường production nếu không cần.
- Đăng ký cảnh báo bản vá plugin, cập nhật đều đặn.
- Sử dụng WAF + Web Application Monitoring để phát hiện sớm hoạt động bất thường.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview