Tin tức bảo mật mới nhất cho thấy các tác nhân đe dọa đang tích cực khai thác một **lỗ hổng CVE** nghiêm trọng trong plugin **Everest Forms Pro** của WordPress. Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi mã từ xa (RCE), tạo điều kiện để tiêm và chạy mã PHP tùy ý trên các trang web bị ảnh hưởng.
Lỗ hổng này, được định danh là **CVE-2026-3300**, có điểm **CVSS 9.8** (mức độ nghiêm trọng cao). Tất cả các phiên bản của plugin Everest Forms Pro lên đến **1.9.12** đều bị ảnh hưởng.
Các chiến dịch khai thác diện rộng đã được ghi nhận, gây ra nguy cơ bảo mật đáng kể cho người dùng.
Phân tích Kỹ thuật Lỗ hổng CVE-2026-3300
Chi tiết CVE và Mức độ Nghiêm trọng
Lỗ hổng **CVE-2026-3300** đã được công bố rộng rãi vào ngày **30 tháng 3 năm 2026**. Tuy nhiên, bản vá đã được nhà cung cấp phát hành trước đó vào ngày **18 tháng 3 năm 2026**.
Mặc dù có bản vá, các tác nhân đe dọa đã bắt đầu nhắm mục tiêu tích cực vào các cài đặt chưa được vá từ ngày **13 tháng 4 năm 2026**.
Theo dữ liệu từ **Wordfence threat intelligence**, hơn **29.300** nỗ lực khai thác đã bị chặn. Đáng chú ý, một đợt tăng vọt với hơn **17.900** cuộc tấn công đã được ghi nhận chỉ riêng vào ngày **16 tháng 5**.
Thông tin chi tiết về lỗ hổng có thể được tìm thấy trên Cơ sở dữ liệu Lỗ hổng Quốc gia: NVD – CVE-2026-3300.
Cơ chế Khai thác và Nguyên nhân Gốc rễ
Vấn đề cốt lõi của lỗ hổng này nằm ở tính năng **“Complex Calculation”** của plugin. Cụ thể, hàm **process_filter()** là nơi xảy ra lỗi.
Hàm này động tạo mã PHP bằng cách nối các đầu vào biểu mẫu do người dùng cung cấp. Sau đó, nó sử dụng hàm nguy hiểm **eval()** để đánh giá mã này.
Mặc dù đầu vào được xử lý bằng **sanitize_text_field()**, hàm này lại không thoát các ký tự quan trọng, chẳng hạn như dấu nháy đơn. Điều này cho phép kẻ tấn công vượt qua ngữ cảnh chuỗi và tiêm mã PHP độc hại.
Sơ hở thiết kế này cho phép các kẻ tấn công không cần xác thực tạo ra các payload độc hại thông qua các trường biểu mẫu tiêu chuẩn. Bao gồm các trường như văn bản, email, URL, chọn và các đầu vào radio.
Kịch bản Tấn công và Tác động
Phương pháp Khai thác Remote Code Execution
Bằng cách tiêm một dấu nháy đơn, theo sau là mã PHP tùy ý và một chuỗi comment, kẻ tấn công có thể thao túng mã được tạo ra và đạt được **remote code execution** trên máy chủ.
Các mẫu tấn công được quan sát cho thấy các tác nhân đe dọa chủ yếu khai thác lỗ hổng này để tạo các tài khoản quản trị viên giả mạo.
Trong một nỗ lực khai thác phổ biến, kẻ tấn công tiêm mã PHP gọi hàm **wp_insert_user()** của WordPress. Mục đích là để tạo một người dùng quản trị viên mới với tên đăng nhập **“diksimarina”**.
Một khi quyền truy cập quản trị viên được thiết lập, kẻ tấn công có thể tải lên webshell, sửa đổi nội dung trang web, triển khai backdoor hoặc thâm nhập sâu hơn vào môi trường lưu trữ.
Các Chỉ báo Xâm nhập (IOCs) và Mục tiêu Tấn công
Dữ liệu đo từ xa về bảo mật đã xác định nhiều địa chỉ IP tích cực khai thác Everest Forms Pro. Chúng tạo ra hàng ngàn yêu cầu độc hại và đóng vai trò là các chỉ báo xâm nhập (IOCs) mạnh mẽ để chặn và giám sát.
Địa chỉ IP Độc hại có Hoạt động cao:
- 202.56.2[.]126: Hàng chục ngàn yêu cầu bị chặn.
- 209.146.60[.]26: Vài ngàn nỗ lực khai thác.
- 15.235.166[.]18: Hàng trăm yêu cầu độc hại.
- 2402:1f00:8000[:]800::40db: Hoạt động khai thác IPv6 tích cực.
- 185.78.165[.]153: Hoạt động quét thù địch đã xác nhận.
Các cuộc tấn công thường nhắm mục tiêu vào điểm cuối **/wp-admin/admin-ajax.php**. Chúng gửi các yêu cầu **POST** được tạo đặc biệt để khai thác logic tính toán dễ bị tổn thương.
Lỗ hổng này gây ra rủi ro bảo mật đáng kể vì không yêu cầu xác thực. Nó có thể được kích hoạt từ xa thông qua các biểu mẫu công khai.
Bất kỳ trang web nào sử dụng **Everest Forms Pro** với tính năng **“Complex Calculation”** được bật đều đặc biệt dễ bị tổn thương. Bạn có thể tìm hiểu thêm về các cuộc tấn công này từ Wordfence: Wordfence – Everest Forms Pro Exploitation.
Biện pháp Phòng ngừa và Khuyến nghị Bảo mật
Cập nhật Bản vá và Bảo vệ Sớm
Khách hàng của Wordfence đã nhận được sự bảo vệ sớm thông qua các quy tắc tường lửa ngay từ ngày **27 tháng 2 năm 2026**. Người dùng miễn phí đã được bảo vệ từ ngày **29 tháng 3 năm 2026**.
Tuy nhiên, việc chỉ dựa vào vá lỗi ảo (virtual patching) là không đủ. Việc cập nhật lên phiên bản vá lỗi mới nhất, **1.9.13**, vẫn là rất quan trọng để giảm thiểu hoàn toàn rủi ro **remote code execution**.
Để bảo vệ hệ thống khỏi những mối đe dọa như **CVE-2026-3300**, cần đảm bảo rằng tất cả các thành phần được cập nhật thường xuyên.
Hành động Ngay lập tức và Giám sát Liên tục
Các quản trị viên trang web được khuyến cáo mạnh mẽ nên cập nhật plugin ngay lập tức. Cần kiểm tra lại các tài khoản người dùng để tìm kiếm bất kỳ tài khoản quản trị viên trái phép nào được tạo.
Đồng thời, hãy xem xét kỹ nhật ký máy chủ để phát hiện các yêu cầu đáng ngờ. Các chỉ báo xâm nhập bao gồm những người dùng quản trị viên không xác định, đặc biệt là những người phù hợp với các mẫu tấn công đã được quan sát.
Các yêu cầu có nguồn gốc từ các địa chỉ IP độc hại đã biết cũng là dấu hiệu của một cuộc **xâm nhập mạng**.
Với hoạt động khai thác tích cực và rào cản tấn công thấp, lỗ hổng này đại diện cho một mối đe dọa có tác động cao đối với môi trường WordPress. Điều này nhấn mạnh sự cần thiết của việc vá lỗi kịp thời và giám sát liên tục để duy trì an ninh mạng.
