Lỗ hổng nghiêm trọng trong Everest Forms bị khai thác để tấn công trang WordPress
Một lỗ hổng bảo mật mức độ nghiêm trọng trong plugin Everest Forms Pro đang bị tin tặc khai thác rộng rãi để chiếm quyền kiểm soát các trang web WordPress. Lỗi này cho phép kẻ tấn công thực thi mã từ xa mà không cần đăng nhập, gây nguy hiểm lớn cho hơn 100.000 website đang sử dụng.
Lỗ hổng nghiêm trọng trong Everest Forms bị khai thác để tấn công trang WordPress
Một lỗ hổng bảo mật mức độ nghiêm trọng trong plugin Everest Forms Pro đang bị tin tặc khai thác rộng rãi để chiếm quyền kiểm soát các trang web WordPress. Lỗi này cho phép kẻ tấn công thực thi mã từ xa mà không cần đăng nhập, gây nguy hiểm lớn cho hơn 100.000 website đang sử dụng.
WordPress
Chi tiết lỗ hổng bảo mật
Theo cảnh báo từ Defiant, một công ty chuyên về bảo mật WordPress, lỗ hổng này đang tồn tại trên plugin Everest Forms Pro – một công cụ phổ biến được thiết kế để tạo các biểu mẫu liên hệ, đơn đặt hàng, thanh toán và khảo sát. Hiện tại, plugin này đang được cài đặt trên hơn 100.000 trang web WordPress.
Lỗi bảo mật được theo dõi dưới mã định danh CVE-2026-3300 với điểm số CVSS là 9.8 (mức nghiêm trọng). Lỗi này cho phép những kẻ tấn công từ xa, không cần xác thực, có thể tiêm mã PHP vào các trường của biểu mẫu bằng cách sử dụng tính năng "Complex Calculation" (Tính toán phức tạp).
Mặc dù dữ liệu đầu vào của người dùng đã được làm sạch (sanitized), nhưng một hàm dễ bị tổn thương trong plugin không thực hiện việc thoát ký tự (escape) đối với dấu ngoặc đơn và các ký tự khác. Thay vào đó, nó thêm các giá trị được cung cấp vào một chuỗi mã PHP.
Cơ chế tấn công và hậu quả
Kẻ tấn công có thể cung cấp một giá trị chứa dấu ngoặc đơn, theo sau là mã PHP độc hại và một ký tự chú thích. Điều này dẫn đến việc tiêm mã PHP và sau đó mã này được thực thi trên máy chủ.
"Điều này cho phép những kẻ tấn công không xác thực tiêm và thực thi mã PHP tùy ý trên máy chủ bằng cách gửi một giá trị được tạo đặc biệt trong bất kỳ trường biểu đồ dạng chuỗi nào (văn bản, email, URL, chọn, radio) khi biểu mẫu sử dụng tính năng 'Complex Calculation'", Defiant giải thích.
Bảo mật
Bằng cách khai thác lỗ hổng này, các tác nhân đe dọa có thể tạo tài khoản quản trị viên hoặc triển khai web shell, từ đó chiếm quyền kiểm soát hoàn toàn các trang web WordPress bị ảnh hưởng.
Defiant cho biết lỗ hổng này đã được khắc phục vào tháng 3 trong phiên bản Everest Forms Pro 1.9.13. Tuy nhiên, việc khai thác trong thực tế đã bắt đầu từ ngày 13 tháng 4. Đến nay, công ty bảo mật này đã chặn hơn 29.000 nỗ lực khai thác nhắm vào lỗ hổng này.
Hầu hết các cuộc tấn công được quan sát thấy đều cố gắng tạo một tài khoản quản trị viên mới có tên là ‘diksimarina’.
Khuyến nghị cho người dùng
Người dùng WordPress được khuyên nên cập nhật các cài đặt Everest Forms Pro của mình lên phiên bản 1.9.13 hoặc mới hơn càng sớm càng tốt. Ngoài ra, quản trị viên cần kiểm tra các tài khoản quản trị viên trái phép, đặc biệt là tên người dùng ‘diksimarina’ hoặc địa chỉ email ‘[email protected]’.
Việc bỏ qua các bản cập nhật bảo mật có thể khiến trang web của bạn trở thành mục tiêu dễ dàng cho các cuộc tấn công tự động, dẫn đến mất dữ liệu hoặc bị cài mã độc.