Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong theme WordPress phổ biến mang tên “Alone”. Lỗ hổng này cho phép những kẻ tấn công không cần xác thực thực thi mã tùy ý từ xa (Remote Code Execution – RCE) và có khả năng chiếm quyền kiểm soát hoàn toàn các website bị ảnh hưởng.
Lỗ hổng này, được theo dõi dưới mã hiệu CVE-2025-5394, ảnh hưởng đến theme dành cho các tổ chức từ thiện và phi lợi nhuận, vốn đã được bán ra hơn 9.000 lần trên ThemeForest. Đây là một cảnh báo nghiêm trọng về an ninh mạng cho người dùng theme Alone.
Phân tích Kỹ thuật Lỗ hổng CVE-2025-5394
Nguyên nhân gốc rễ của sự cố bảo mật này nằm ở việc thiếu kiểm tra ủy quyền (authorization check) trong chức năng cài đặt plugin của theme. Cụ thể, vấn đề tồn tại trong hàm alone_import_pack_install_plugin().
Thiếu sót này tạo điều kiện cho kẻ tấn công không cần xác thực có thể tải lên các tệp ZIP độc hại, ngụy trang thành plugin, từ các vị trí từ xa. Điều này trực tiếp dẫn đến khả năng remote code execution, cho phép kẻ tấn công chạy mã độc trên máy chủ của nạn nhân.
Các nhà nghiên cứu bảo mật của Wordfence đã phát hiện ra rằng hàm dễ bị tấn công này không có cả kiểm tra quyền (capability checks) và xác minh Nonce. Điều này khiến nó có thể truy cập được bởi bất kỳ khách truy thăm nào thông qua hành động AJAX wp_ajax_nopriv_alone_import_pack_install_plugin.
Cơ chế khai thác
Kẻ tấn công có thể khai thác lỗ hổng CVE này bằng cách chỉ định cả một “slug” plugin và một “source” từ xa. Điều này cho phép chúng cài đặt các plugin độc hại từ máy chủ bên ngoài. Mã độc thường được ngụy trang bằng các tên hợp pháp như “wp-classic-editor.zip” hoặc “background-image-cropper.zip” để lừa người dùng hoặc hệ thống.
Tất cả các phiên bản của theme Alone lên đến và bao gồm phiên bản 7.8.3 đều bị ảnh hưởng. Nhà cung cấp đã phát hành phiên bản vá lỗi 7.8.5 vào ngày 16 tháng 6 năm 2025, theo đúng quy trình công bố lỗ hổng có trách nhiệm.
Hoạt động Khai thác Thực tế và Chỉ số thỏa hiệp (IOCs)
Mặc dù phiên bản vá lỗi đã được phát hành, các nhà nghiên cứu bảo mật đã quan sát thấy rằng những kẻ tấn công bắt đầu khai thác lỗ hổng CVE này vào ngày 12 tháng 7 năm 2025, chỉ hai ngày trước khi thông tin được công bố rộng rãi vào ngày 14 tháng 7 năm 2025.
Đội ngũ bảo mật của Wordfence đã báo cáo chặn hơn 120.900 nỗ lực khai thác nhắm mục tiêu vào lỗ hổng CVE này kể từ khi bản vá được phát hành. Điều này cho thấy quy mô và mức độ nghiêm trọng của các cuộc tấn công mạng đang diễn ra.
Chỉ số thỏa hiệp (IOCs)
Các cuộc tấn công chủ yếu xuất phát từ các địa chỉ IP sau:
- 193.84.71.244 (chiếm gần 40.000 yêu cầu bị chặn)
- 87.120.92.24
- 146.19.213.18
Kẻ tấn công đã được quan sát thấy cài đặt nhiều loại mã độc khác nhau, bao gồm: backdoor, trình quản lý tệp, và các script tạo tài khoản quản trị viên độc hại. Những hành động này nhằm mục đích chiếm quyền điều khiển hoàn toàn hệ thống và duy trì sự hiện diện trái phép.
Biện pháp Phòng ngừa và Khuyến nghị
Các quản trị viên website đang sử dụng theme Alone được khuyến nghị mạnh mẽ phải cập nhật bản vá lên phiên bản 7.8.5 ngay lập tức. Đây là bước quan trọng nhất để khắc phục lỗ hổng CVE-2025-5394 và bảo vệ hệ thống khỏi các cuộc tấn công.
Ngoài ra, cần rà soát kỹ lưỡng các thư mục plugin của mình để tìm bất kỳ cài đặt đáng ngờ nào. Việc kiểm tra định kỳ này giúp phát hiện sớm các plugin độc hại đã được cài đặt trước khi áp dụng bản vá.
Wordfence đã cung cấp khả năng bảo vệ tường lửa cho người dùng Premium, Care và Response từ ngày 30 tháng 5 năm 2025. Người dùng miễn phí cũng đã nhận được bảo vệ sau thời gian trì hoãn tiêu chuẩn 30 ngày, vào ngày 29 tháng 6 năm 2025. Điều này nhấn mạnh tầm quan trọng của việc duy trì các giải pháp an ninh mạng mạnh mẽ.
Để biết thêm chi tiết kỹ thuật về lỗ hổng, bạn có thể tham khảo tại:
