Lỗ hổng nghiêm trọng trong plugin Kirki và Burst Statistics của WordPress đang bị tấn công tích cực

Hàng trăm nghìn trang web hiện đang nằm trong tầm ngắm của các cuộc tấn công mạng khai thác hai lỗ hổng bảo mật nghiêm trọng trong các plugin phổ biến của nền tảng WordPress là Kirki và Burst Statistics. Theo cảnh báo từ công ty bảo mật Defiant, các tác nhân đe dọa đang tích cực tận dụng các lỗ hổng này để leo thang đặc quyền và chiếm đoạt toàn quyền kiểm soát website.

WordPress

Lỗ hổng trong plugin Kirki cho phép chiếm đoạt tài khoản quản trị

Kirki là một plugin được sử dụng rộng rãi để hỗ trợ tạo trang web, tạo trang tự do và nâng cao khả năng tùy biến của WordPress. Các phiên bản từ 6.0.0 đến 6.0.6 của plugin này đang bị ảnh hưởng bởi một lỗi leo thang đặc quyền nghiêm trọng chưa được xác thực, dẫn đến việc chiếm đoạt tài khoản.

Lỗi này được theo dõi dưới mã định danh CVE-2026-8206 với điểm số CVSS là 9.8 (mức độ nghiêm trọng). Vấn đề nằm trong quy trình đặt lại mật khẩu của plugin, cho phép kẻ tấn công cung cấp tên người dùng và một địa chỉ email tùy ý để nhận liên kết đặt lại mật khẩu.

"Điều này có nghĩa là một kẻ tấn công chưa được xác thực có thể gửi yêu cầu chỉ định tên người dùng có quyền cao cùng với địa chỉ email do kẻ tấn công kiểm soát và nhận được liên kết đặt lại mật khẩu hợp lệ cho tài khoản mục tiêu," Defiant giải thích.

Bằng cách sử dụng liên kết này, kẻ tấn công có thể đặt lại mật khẩu cho tài khoản quản trị (admin), từ đó chiếm đoạt toàn bộ website. Hiện tại, Kirki có hơn 500.000 lượt cài đặt hoạt động, nhưng ước tính chỉ có khoảng 150.000 trang web đang chạy phiên bản bị ảnh hưởng.

Lỗi bỏ qua xác thực trong Burst Statistics

Burst Statistics là một plugin nhẹ cung cấp bảng điều khiển phân tích trực quan, cung cấp thông tin chi tiết về lưu lượng truy cập, nguồn khách truy cập và hiệu suất trang web. Các phiên bản từ 3.4.0 đến 3.4.1.1 của plugin này bị ảnh hưởng bởi một lỗ hổng bỏ qua xác thực (authentication bypass).

Lỗi này cho phép kẻ tấn công chưa được xác thực nâng cao đặc quyền của mình lên cấp quản trị viên và kiểm soát trang web bị lỗi. Nguyên nhân là do hàm chịu trách nhiệm xác thực mật khẩu ứng dụng từ tiêu đề Authorization chứa một giá trị trả về không chính xác.

Do đó, kẻ tấn công có thể gửi một yêu cầu REST API và mạo danh quản trị viên trong thời gian thực hiện yêu cầu đó.

"Plugin xử lý sai yêu cầu này như đã được xác thực và đặt người dùng hiện tại thành tài khoản quản trị được cung cấp, cho phép truy cập trái phép vào chức năng REST API cấp quản trị, chẳng hạn như tạo tài khoản quản trị mới," Defiant lưu ý.

Plugin này hiện có hơn 200.000 lượt cài đặt hoạt động.

Khuyến cáo bảo mật

Công ty bảo mật Defiant cho biết họ đã chặn hàng nghìn cuộc tấn công nhắm vào các lỗ hổng này trong 24 giờ qua và cảnh báo rằng hàng trăm nghìn trang web có thể gặp rủi ro.

Để bảo vệ website, người dùng được khuyến nghị cập nhật ngay lập tức:

• Cập nhật Kirki lên phiên bản 6.0.7 hoặc mới hơn.
• Cập nhật Burst Statistics lên phiên bản 3.4.2 hoặc mới hơn.

Các phiên bản cập nhật này đã chứa các bản vá để khắc phục các lỗi bảo mật đang bị khai thác.