Tìm kiếm

Lỗ hổng trong WordPress King Addons cho phép tin tặc tạo tài khoản quản trị viên

Lỗ hổng trong WordPress King Addons cho phép tin tặc tạo tài khoản quản trị viên

Tác giả T-X, Hôm nay lúc 10:17:11 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
Hôm nay lúc 10:17:11 SÁNG
Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến plugin WordPress có tên King Addons for Elementor đã bị khai thác rộng rãi.

Lỗ hổng bảo mật CVE-2025-8489 (điểm CVSS: 9,8) là trường hợp leo thang đặc quyền cho phép kẻ tấn công chưa xác thực tự cấp cho mình quyền quản trị bằng cách chỉ định vai trò người dùng quản trị viên trong quá trình đăng ký.


Lỗ hổng này ảnh hưởng đến các phiên bản từ 24.12.92 đến 51.1.14. Các nhà bảo trì đã vá lỗi trong phiên bản 51.1.35 phát hành ngày 25 tháng 9 năm 2025. Nhà nghiên cứu bảo mật Peter Thaleikis được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Plugin này hiện có hơn 10.000 lượt cài đặt đang hoạt động.

"Điều này là do plugin không hạn chế đúng vai trò mà người dùng có thể đăng ký", Wordfence cho biết trong một cảnh báo. "Điều này khiến kẻ tấn công chưa được xác thực có thể đăng ký bằng tài khoản người dùng cấp quản trị viên."

Cụ thể, vấn đề bắt nguồn từ hàm "handle_register_ajax()" được gọi trong quá trình đăng ký người dùng. Tuy nhiên, việc triển khai hàm này không an toàn đồng nghĩa với việc kẻ tấn công chưa được xác thực có thể chỉ định vai trò "quản trị viên" trong một yêu cầu HTTP được tạo sẵn đến điểm cuối "/wp-admin/admin-ajax.php", cho phép chúng có được các đặc quyền nâng cao.

Việc khai thác thành công lỗ hổng này có thể cho phép kẻ xấu chiếm quyền kiểm soát một trang web dễ bị tấn công đã cài đặt plugin và lợi dụng quyền truy cập để tải lên mã độc có thể phát tán phần mềm độc hại, chuyển hướng người truy cập trang web đến các trang web đáng ngờ hoặc phát tán thư rác.


Wordfence cho biết họ đã chặn hơn 48.400 nỗ lực khai thác kể từ khi lỗ hổng được công bố vào cuối tháng 10 năm 2025, với 75 nỗ lực bị ngăn chặn chỉ trong 24 giờ qua. Các cuộc tấn công bắt nguồn từ các địa chỉ IP sau:

    45.61.157.120
    182.8.226.228
    138.199.21.230
    206.238.221.25
    2602:fa59:3:424::1

Công ty bảo mật WordPress cho biết: "Những kẻ tấn công có thể đã bắt đầu tích cực nhắm vào lỗ hổng này từ ngày 31 tháng 10 năm 2025, với hoạt động khai thác hàng loạt bắt đầu từ ngày 9 tháng 11 năm 2025".

Người quản trị trang web được khuyên nên đảm bảo rằng họ đang chạy phiên bản plugin mới nhất, kiểm tra môi trường của họ để tìm bất kỳ người dùng quản trị nào đáng ngờ và theo dõi mọi dấu hiệu hoạt động bất thường.
Tạo trang in
Lên đầu trang Trang1
User actions

Lỗ hổng trong WordPress King Addons cho phép tin tặc tạo tài khoản quản trị viên