Lỗ hổng nghiêm trọng trong plugin WP Maps Pro bị khai thác để chiếm đoạt trang WordPress

Lỗ hổng nghiêm trọng trong plugin WP Maps Pro bị khai thác để chiếm đoạt trang WordPress Bảo mật WordPress

Các chuyên gia bảo mật tại Defiant vừa đưa ra cảnh báo về việc các tác nhân đe dọa đang tích cực khai thác một lỗ hổng bảo mật có mức độ nghiêm trọng cao trong plugin WP Maps Pro của WordPress. Mục tiêu của các cuộc tấn công này là chiếm quyền kiểm soát hoàn toàn các trang web bị ảnh hưởng.

WP Maps Pro là một plugin phổ biến cho phép quản trị viên web nhúng Google Maps vào trang WordPress của họ với các tùy chọn tùy chỉnh nâng cao về vị trí, điểm đánh dấu và danh mục.

Chi tiết lỗ hổng CVE-2026-8732

Lỗ hổng đang bị khai thác, được theo dõi dưới mã định danh CVE-2026-8732 (điểm số CVSS là 9.8), cho phép những kẻ tấn công chưa được xác thực có thể tạo mới các tài khoản quản trị và chiếm đoạt trang web dễ bị tổn thương.

Theo thiết kế, WP Maps Pro hỗ trợ các công cụ kỹ thuật, trong đó có khả năng truy cập tạm thời mà nhà cung cấp sử dụng để đăng nhập vào trang web của khách hàng nhằm mục đích khắc phục sự cố. Tuy nhiên, Defiant chỉ ra rằng lỗi bảo mật nằm trong một hàm AJAX callback được sử dụng để xử lý việc tạo truy cập tạm thời này.

Cơ chế tấn công

Vấn đề cốt lõi ở đây là hàm này chỉ được bảo vệ bởi một kiểm tra nonce. Theo Defiant giải thích, nonce này được nhúng vào mọi trang giao diện người dùng (frontend) và bị lộ cho bất kỳ người dùng nào chưa được xác thực, khiến việc kiểm tra nonce trở nên vô hiệu.

Hơn nữa, plugin không bao gồm các kiểm tra khả năng (capability checks). Điều này cho phép kẻ tấn công chưa được xác thực gọi hành động AJAX với tham số check_temp được đặt là false để tạo một người dùng WordPress mới với vai trò là quản trị viên.

Người dùng được tạo sẽ có tên người dùng ngẫu nhiên và địa chỉ email được mã hóa cứng. Ngoài ra, chức năng này còn tạo ra một URL đăng nhập "ma thuật" (magic login URL) và trả lại cho kẻ tấn công. Chúng có thể sử dụng URL này để xác thực mà không cần mật khẩu hoặc xác minh bổ sung nào khác.

"Kết quả là, kẻ tấn công có được quyền kiểm soát cấp quản trị viên hoàn toàn đối với trang web và có thể cài đặt các plugin độc hại, sửa đổi giao diện, chèn backdoors, đánh cắp dữ liệu hoặc triển khai web shell để duy trì quyền truy cập lâu dài," Defiant giải thích.

Giải pháp và tình hình thực tế

Lỗ hổng này đã được khắc phục trong phiên bản WP Maps Pro 6.1.1, bản cập nhật này thêm kiểm tra khả năng để hạn chế truy cập chỉ dành cho các quản trị viên đã xác thực.

Defiant cho biết họ đã chặn hơn 1.700 cuộc tấn công nhắm vào CVE-2026-8732 trong vòng 24 giờ qua. Các quản trị viên web đang sử dụng plugin này được khuyến cáo khẩn cấp cập nhật lên phiên bản mới nhất ngay lập tức để bảo vệ trang web của mình.

Bảo mật mạng

Các chuyên gia cũng khuyên người dùng nên kiểm tra danh sách người dùng trên trang web của mình để phát hiện bất kỳ tài khoản quản trị nào đáng ngờ được tạo ra gần đây.