Lỗ hổng nghiêm trọng trong Ninja Forms bị tin tặc khai thác để chiếm đoạt trang WordPress

Lỗ hổng nghiêm trọng trong Ninja Forms bị tin tặc khai thác để chiếm đoạt trang WordPress

Một lỗ hổng bảo mật có mức độ nghiêm trọng cao trong tiện ích mở rộng (addon) File Uploads của plugin Ninja Forms trên WordPress có thể cho phép các tác nhân đe dọa chiếm quyền kiểm soát toàn bộ các trang web bị ảnh hưởng. Cảnh báo này vừa được công ty an ninh mạng Defiant đưa ra.

Theo Defiant, tiện ích mở rộng bị ảnh hưởng hiện đang được sử dụng bởi khoảng 50.000 trang web. Công ty này đã ghi nhận hàng nghìn nỗ lực khai thác lỗ hổng này trong thời gian gần đây.

WordPress

Chi tiết lỗ hổng CVE-2026-0740

Lỗi bảo mật này được theo dõi với mã định danh CVE-2026-0740 và có điểm số CVSS là 9.8 (mức nghiêm trọng). Vấn đề được mô tả là lỗi tải lên tệp tin tùy ý (arbitrary file upload) mà không cần xác thực, xuất phát từ việc thiếu kiểm tra loại tệp tin.

Tiện ích mở rộng này được thiết kế để cung cấp chức năng tải lên tệp cho plugin Ninja Forms. Lỗ hổng CVE nằm trong hàm chức năng lưu tệp đã tải lên vào thư mục uploads. Việc kiểm tra loại tệp mà nó thực hiện là không đủ, vì nó không kiểm tra tên tệp đích trước khi tệp được di chuyển vào thư mục tải lên. Điều này tạo điều kiện cho kẻ tấn công tải lên các tệp có đuôi mở rộng .php.

"Vì không sử dụng tính năng khử trùng tên tệp, tham số độc hại cũng tạo điều kiện cho việc duyệt đường dẫn (path traversal), cho phép tệp được di chuyển thậm chí đến cả thư mục webroot," Defiant giải thích.

Cơ chế tấn công và hậu quả

Một kẻ tấn công không cần xác thực có thể khai thác lỗ hổng này để tải lên mã PHP độc hại vào máy chủ của trang web bị lỗi. Sau đó, chúng có thể truy cập tệp này để đạt được việc thực thi mã từ xa (Remote Code Execution - RCE).

Theo công ty an ninh mạng này, kẻ tấn công có thể lạm dụng lỗi này để triển khai các web shell và chiếm hoàn toàn quyền kiểm soát trang web mục tiêu.

CVE-2026-0740 được xác định và báo cáo thông qua chương trình tiền thưởng lỗi (bug bounty) Wordfence vào tháng 1 bởi nhà nghiên cứu bảo mật Sélim Lanouar. Ông đã nhận được phần thưởng trị giá 2.145 USD cho phát hiện này.

Khuyến nghị và giải pháp

Defiant khuyến cáo người dùng nên nâng cấp lên Ninja Forms – File Uploads phiên bản 3.3.27 càng sớm càng tốt, vì tất cả các phiên bản trước đó đều bị ảnh hưởng bởi lỗi này.

Việc trì hoãn cập nhật có thể khiến trang web của bạn trở thành mục tiêu dễ dàng cho các cuộc tấn công tự động nhằm cài đặt mã độc hoặc phần mềm mã hóa dữ liệu (ransomware).

Security