Một lỗ hổng CVE backdoor nghiêm trọng đã được phát hiện trong plugin LA-Studio Element Kit for Elementor, một tiện ích mở rộng phổ biến của WordPress được sử dụng bởi hơn 20.000 trang web đang hoạt động.
Lỗi bảo mật này cho phép kẻ tấn công tạo tài khoản quản trị mà không cần xác thực. Điều này đặt hàng nghìn trang web vào nguy cơ chiếm quyền điều khiển hoàn toàn.
Tổng quan về Lỗ hổng Backdoor
Mã định danh CVE và Mức độ nghiêm trọng CVSS
Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-0920. Nó có điểm CVSS là 9.8, xếp loại là mối đe dọa cực kỳ nghiêm trọng.
Điểm số này yêu cầu quản trị viên trang web phải có hành động khắc phục ngay lập tức để bảo vệ hệ thống.
Thông tin chi tiết về lỗ hổng CVE có thể được tìm thấy trên National Vulnerability Database (NVD).
Cơ chế khai thác và Tác động
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu đăng ký người dùng được chế tạo đặc biệt.
Yêu cầu này cần chứa tham số lakit_bkrole. Khi thành công, kẻ tấn công sẽ có được quyền truy cập quản trị đầy đủ vào trang WordPress mục tiêu.
Việc chiếm quyền điều khiển này cho phép thực hiện nhiều hành động độc hại, bao gồm:
- Tải lên các tệp độc hại.
- Sửa đổi nội dung trang web.
- Chuyển hướng khách truy cập đến các trang web độc hại.
- Chèn nội dung spam không mong muốn.
Điều này gây ra rủi ro nghiêm trọng về tính toàn vẹn dữ liệu, danh tiếng và an ninh mạng của trang web.
Nguồn gốc và Phương thức chèn Backdoor
Backdoor được một cựu nhân viên chèn vào mã nguồn plugin trước khi nghỉ việc vào cuối tháng 12 năm 2025.
Theo LA-Studio, nhà phát triển đã sửa đổi mã plugin để chèn chức năng ẩn, cho phép tạo tài khoản quản trị trái phép.
Sự cố này làm nổi bật mối lo ngại ngày càng tăng về các mối đe dọa nội bộ và tầm quan trọng của quy trình xem xét mã chặt chẽ.
Đặc biệt là trong giai đoạn chuyển giao nhân sự.
Chi tiết kỹ thuật về Backdoor
Kỹ thuật làm xáo trộn mã (Obfuscation)
Các nhà nghiên cứu của Wordfence đã ghi nhận rằng mã backdoor bị làm xáo trộn một cách có chủ đích.
Mục đích là để tránh bị phát hiện trong quá trình đánh giá bảo mật thông thường. Kỹ thuật này khiến chức năng độc hại khó bị phát hiện hơn, cho phép nó ẩn mình trong mã nguồn plugin.
Việc làm xáo trộn bao gồm các kỹ thuật như thao tác chuỗi (string manipulation) và gọi hàm gián tiếp (indirect function calls).
Điều này giúp mã độc hòa nhập một cách liền mạch với các chức năng hợp pháp của plugin.
Kỹ thuật ngụy trang tinh vi này cho phép backdoor vượt qua các cuộc kiểm tra bảo mật tiêu chuẩn và không bị phát hiện.
Cơ chế hoạt động trong hệ thống đăng ký người dùng
Backdoor hoạt động thông qua một sửa đổi được ẩn giấu kỹ lưỡng trong hệ thống xử lý đăng ký của plugin.
Khi phân tích mã, các nhà phân tích của Wordfence đã phát hiện ra rằng hàm ajax_register_handle chứa logic bị làm xáo trộn.
Logic này kiểm tra sự hiện diện của tham số lakit_bkrole trong quá trình đăng ký người dùng.
Nếu tham số này được phát hiện, hàm sẽ kích hoạt các bộ lọc bổ sung để gán quyền quản trị viên cho tài khoản mới được tạo.
Dưới đây là một ví dụ minh họa về logic kiểm tra mà kẻ tấn công có thể lợi dụng:
function ajax_register_handle() {
// ... (Legitimate registration logic)
if (isset($_POST['lakit_bkrole']) && $_POST['lakit_bkrole'] === 'admin_role') {
// Obfuscated code to assign administrator capabilities
// This part would typically involve string manipulation or indirect calls
// to functions like wp_roles->add_cap() or similar privilege escalation methods.
add_filter('pre_user_query', 'some_hidden_admin_privilege_hook');
}
// ... (Continue with normal registration)
}
Mã thực tế có thể phức tạp và được làm xáo trộn hơn nhiều. Tuy nhiên, nguyên tắc cơ bản là tìm kiếm một tham số cụ thể để kích hoạt chức năng nâng cao đặc quyền.
Các phiên bản bị ảnh hưởng và Phát hiện
Phạm vi ảnh hưởng của lỗ hổng CVE
Lỗ hổng này tồn tại trong tất cả các phiên bản của plugin LA-Studio Element Kit for Elementor lên đến và bao gồm phiên bản 1.5.6.3.
Các quản trị viên cần xác định phiên bản plugin hiện tại của họ để đánh giá rủi ro.
Quy trình phát hiện và báo cáo
Các nhà nghiên cứu bảo mật Athiwat Tiprasaharn, Itthidej Aramsri và Waris Damkham đã phát hiện ra lỗ hổng vào ngày 12 tháng 1 năm 2026.
Họ đã báo cáo nó thông qua Chương trình Bug Bounty của Wordfence. Các nhà phân tích của Wordfence đã xác định được lỗ hổng trong hệ thống đăng ký người dùng của plugin.
Cụ thể, lỗi nằm trong hàm ajax_register_handle.
Thông tin chi tiết về phát hiện này có thể được tìm thấy trên blog của Wordfence: 20,000 WordPress Sites Affected by Backdoor Vulnerability in LA-Studio Element Kit for Elementor WordPress Plugin.
Khắc phục và Khuyến nghị bảo mật
Cập nhật bản vá bảo mật khẩn cấp
Lỗ hổng đã nhanh chóng được vá, với phiên bản 1.6.0 được phát hành vào ngày 14 tháng 1 năm 2026. Việc này diễn ra chỉ hai ngày sau báo cáo ban đầu.
Tất cả quản trị viên trang web WordPress sử dụng plugin này phải cập nhật lên phiên bản 1.6.0 hoặc cao hơn ngay lập tức.
Đây là hành động quan trọng nhất để ngăn chặn kẻ tấn công khai thác lỗ hổng CVE này.
Cập nhật bản vá bảo mật là biện pháp phòng ngừa hiệu quả nhất đối với các lỗ hổng đã được công khai.
Kiểm tra hệ thống và các biện pháp bổ sung
Sau khi cập nhật, quản trị viên nên thực hiện các bước sau:
- Kiểm tra người dùng không xác định: Rà soát danh sách tài khoản người dùng WordPress để tìm bất kỳ tài khoản quản trị viên nào không quen thuộc hoặc đáng ngờ. Xóa ngay lập tức các tài khoản này.
- Kiểm tra nhật ký hoạt động: Phân tích nhật ký máy chủ web và nhật ký WordPress để tìm các dấu hiệu đăng ký người dùng bất thường hoặc hoạt động quản trị viên đáng ngờ xảy ra trước khi áp dụng bản vá bảo mật.
- Thực thi quy trình xem xét mã: Đối với các nhà phát triển và quản lý plugin, hãy tăng cường quy trình xem xét mã, đặc biệt là khi có sự thay đổi nhân sự.
- Đào tạo và nâng cao nhận thức: Nâng cao nhận thức về các mối đe dọa nội bộ và tầm quan trọng của các biện pháp bảo mật nghiêm ngặt.
Việc không cập nhật kịp thời bản vá bảo mật sẽ để lại cánh cửa mở cho các cuộc tấn công tiếp theo.
Các trang web bị ảnh hưởng bởi lỗ hổng CVE này có nguy cơ cao bị tổn hại nghiêm trọng.
