Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin Forminator của WordPress, một công cụ tạo form phổ biến được sử dụng trên hơn 600.000 trang web trên toàn cầu. Lỗ hổng này có khả năng khiến các trang web gặp rủi ro bị kiểm soát từ xa hoàn toàn, theo các báo cáo gần đây từ công ty bảo mật Wordfence và các nhà nghiên cứu độc lập.
Tổng quan về lỗ hổng và mức độ nghiêm trọng
Lỗ hổng được định danh là CVE-2025-6463 và được đánh giá là 8.8 (Mức độ Cao) trên thang điểm CVSS. Điểm số này cho thấy đây là một lỗ hổng đáng lo ngại với tác động đáng kể. Đặc biệt, nó cho phép những kẻ tấn công không cần xác thực (unauthenticated attackers) có thể xóa bất kỳ tệp nào (arbitrary files) từ các máy chủ bị ảnh hưởng. Việc xóa các tệp quan trọng có thể dẫn đến việc kiểm soát hoàn toàn trang web.
Lỗ hổng này tồn tại trong tất cả các phiên bản của Forminator cho đến và bao gồm cả phiên bản 1.44.2. Nguyên nhân cốt lõi của vấn đề nằm ở việc xác thực không đầy đủ trong quá trình plugin xử lý việc xóa tệp trong quá trình gửi biểu mẫu.
Chi tiết kỹ thuật về cơ chế khai thác
Lỗ hổng này được tìm thấy trong hàm entry_delete_upload_files() của plugin. Trước khi được vá, hàm này không giới hạn việc xóa tệp chỉ đối với các trường tải lên hợp lệ hoặc chỉ đối với các tệp nằm trong thư mục uploads của WordPress. Điều này tạo ra một khe hở cho phép kẻ tấn công lợi dụng.
Kẻ tấn công có thể tạo một yêu cầu gửi biểu mẫu chứa đường dẫn tệp độc hại. Khi yêu cầu gửi biểu mẫu này bị xóa – dù là thủ công bởi một quản trị viên hoặc tự động bởi cài đặt của plugin – tệp được tham chiếu trong đường dẫn độc hại đó cũng sẽ bị xóa theo.
Wordfence đã giải thích rõ ràng về cơ chế này: “Lỗ hổng này cho phép những kẻ tấn công không cần xác thực chỉ định các đường dẫn tệp tùy ý trong một yêu cầu gửi biểu mẫu, và tệp đó sẽ bị xóa khi yêu cầu gửi biểu mẫu bị xóa. Nó có thể được sử dụng để xóa các tệp quan trọng như wp-config.php, điều này có thể dẫn đến thực thi mã từ xa.”
Tác động nghiêm trọng: Kiểm soát trang web qua việc xóa wp-config.php
Mối quan ngại đặc biệt từ lỗ hổng này là khả năng nhắm mục tiêu vào các tệp hệ thống quan trọng, điển hình là wp-config.php. Tệp này chứa các thông tin cấu hình cốt lõi của WordPress, bao gồm thông tin kết nối cơ sở dữ liệu, khóa bảo mật, và các thiết lập quan trọng khác. Việc xóa tệp cấu hình này sẽ buộc WordPress phải chuyển sang chế độ thiết lập ban đầu (setup mode) khi có truy cập tiếp theo.
Khi WordPress ở chế độ thiết lập, một kẻ tấn công có thể lợi dụng tình huống này để kết nối trang web với một cơ sở dữ liệu do chúng kiểm soát. Bằng cách đó, kẻ tấn công có thể cài đặt một cài đặt WordPress mới trên trang web, nhưng với thông tin cơ sở dữ liệu của chúng, từ đó giành quyền kiểm soát hoàn toàn trang web. Việc kiểm soát hoàn toàn trang web bao gồm khả năng cài đặt các plugin và theme độc hại, sửa đổi mã, hoặc thậm chí thực thi mã từ xa (RCE) thông qua các hành động này.
Tác động này cực kỳ nghiêm trọng vì nó bỏ qua các cơ chế xác thực thông thường và cho phép kẻ tấn công giành quyền kiểm soát mà không cần thông tin đăng nhập.
Phát hiện và công bố
Lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Phat RiO – BlueRock. Nhà nghiên cứu đã báo cáo một cách có trách nhiệm thông qua Chương trình Bug Bounty của Wordfence, và nhận được phần thưởng 8.100 USD – đây là phần thưởng cao nhất trong lịch sử của chương trình này. Sự hợp tác giữa các nhà nghiên cứu và các nhà phát triển plugin là rất quan trọng để đảm bảo an toàn cho hệ sinh thái WordPress.
Biện pháp khắc phục và bản vá
Sau khi nhận được báo cáo, nhóm phát triển WPMU DEV, những người tạo ra plugin Forminator, đã phản hồi nhanh chóng. Một phiên bản vá lỗi, 1.44.3, đã được phát hành vào ngày 30 tháng 6 năm 2025.
Bản vá đã khắc phục lỗ hổng bằng cách đảm bảo rằng chỉ các tệp được tải lên thông qua các trường ‘upload’ hoặc ‘signature’ được chỉ định mới có thể bị xóa, và chỉ khi chúng nằm trong thư mục uploads của WordPress. Ngoài ra, các tên tệp cũng được làm sạch (sanitized) và các đường dẫn được chuẩn hóa để ngăn chặn việc lạm dụng.
Song song với bản vá của nhà phát triển, Wordfence cũng đã triển khai một quy tắc tường lửa (firewall rule) để bảo vệ người dùng gói Premium của họ vào ngày 26 tháng 6 năm 2025. Người dùng miễn phí dự kiến sẽ nhận được sự bảo vệ tương tự vào ngày 26 tháng 7 năm 2025.
Khuyến nghị cho chủ sở hữu trang web
Với tính chất đơn giản của cuộc tấn công và tiềm năng kiểm soát hoàn toàn trang web, các quản trị viên được khuyến khích hành động ngay lập tức mà không chậm trễ. Hành động quan trọng nhất là cập nhật plugin Forminator lên phiên bản 1.44.3 hoặc mới hơn càng sớm càng tốt.
Để cập nhật plugin Forminator, quản trị viên có thể thực hiện các bước sau:
- Đăng nhập vào bảng điều khiển WordPress của bạn.
- Điều hướng đến mục Plugins > Installed Plugins.
- Tìm kiếm plugin Forminator trong danh sách.
- Nếu có bản cập nhật, bạn sẽ thấy một thông báo. Nhấp vào liên kết “Update now” để tiến hành cập nhật.
Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc quản lý plugin chủ động và áp dụng các thực hành bảo mật mạnh mẽ trong hệ sinh thái WordPress. Việc thường xuyên cập nhật tất cả các plugin, theme và lõi WordPress là cực kỳ quan trọng để bảo vệ trang web khỏi các lỗ hổng đã biết. Ngoài ra, việc sử dụng các giải pháp bảo mật như tường lửa ứng dụng web (WAF) và thường xuyên sao lưu dữ liệu cũng là các biện pháp phòng ngừa không thể thiếu.
