404 Not Found
Writer
Một lỗ hổng nghiêm trọng vừa được phát hiện trong plugin WordPress “Database for Contact Form 7, WPforms, Elementor forms”, khiến hàng chục nghìn website có thể bị kẻ xấu tấn công từ xa mà không cần đăng nhập. Lỗ hổng này được gọi là CVE-2025-7384 và đã được công bố ngày 12/8/2025.
Nguyên nhân là do plugin xử lý thông tin từ người dùng không đúng cách, tạo cơ hội cho tin tặc “chèn” lệnh nguy hiểm vào website. Khi khai thác thành công, hacker có thể xóa file cấu hình quan trọng, thay đổi website hoặc thậm chí chiếm toàn quyền điều khiển.
Điều đáng lo là lỗi này không cần đăng nhập và việc khai thác rất dễ với tin tặc, vì vậy mức độ nguy hiểm là rất cao. Phiên bản mới nhất của plugin là 1.4.4 đã được cập nhật để vá lỗ hổng này.
Nếu tin tặc khai thác thành công lỗ hổng này, website có thể ngay lập tức mất khả năng hoạt động do các file cấu hình quan trọng bị xóa hoặc thay đổi. Hacker cũng có thể thực thi lệnh hoặc cài mã độc, chiếm quyền quản trị và kiểm soát toàn bộ website từ xa. Dữ liệu khách hàng và thông tin nhạy cảm có nguy cơ bị đánh cắp, khiến website mất uy tín và chủ sở hữu phải tốn nhiều thời gian, chi phí để phục hồi. Ngoài ra, nếu máy chủ kết nối với các website khác, cuộc tấn công có thể lan rộng, tạo ra rủi ro cho cả hệ thống mạng liên quan.
Chuyên gia WhiteHat khuyến cáo:
Nguyên nhân là do plugin xử lý thông tin từ người dùng không đúng cách, tạo cơ hội cho tin tặc “chèn” lệnh nguy hiểm vào website. Khi khai thác thành công, hacker có thể xóa file cấu hình quan trọng, thay đổi website hoặc thậm chí chiếm toàn quyền điều khiển.
Điều đáng lo là lỗi này không cần đăng nhập và việc khai thác rất dễ với tin tặc, vì vậy mức độ nguy hiểm là rất cao. Phiên bản mới nhất của plugin là 1.4.4 đã được cập nhật để vá lỗ hổng này.
Nếu tin tặc khai thác thành công lỗ hổng này, website có thể ngay lập tức mất khả năng hoạt động do các file cấu hình quan trọng bị xóa hoặc thay đổi. Hacker cũng có thể thực thi lệnh hoặc cài mã độc, chiếm quyền quản trị và kiểm soát toàn bộ website từ xa. Dữ liệu khách hàng và thông tin nhạy cảm có nguy cơ bị đánh cắp, khiến website mất uy tín và chủ sở hữu phải tốn nhiều thời gian, chi phí để phục hồi. Ngoài ra, nếu máy chủ kết nối với các website khác, cuộc tấn công có thể lan rộng, tạo ra rủi ro cho cả hệ thống mạng liên quan.
Chuyên gia WhiteHat khuyến cáo:
- Cập nhật plugin lên phiên bản 1.4.4 hoặc mới hơn ngay lập tức
- Kiểm tra các plugin khác đang dùng, đặc biệt là các plugin xử lý biểu mẫu, và loại bỏ những plugin không còn được duy trì
- Theo dõi website để phát hiện các hành vi bất thường hoặc file bị xóa
Theo WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview