Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong plugin Post SMTP phổ biến dành cho WordPress. Lỗ hổng này tiềm ẩn nguy cơ khiến hơn 400.000 website có thể bị tấn công chiếm quyền điều khiển tài khoản.
Được theo dõi dưới mã định danh CVE-2025-24000, lỗ hổng ảnh hưởng đến các phiên bản 3.2.0 trở xuống của plugin. Theo báo cáo từ Patchstack, nó cho phép người dùng có đặc quyền thấp truy cập dữ liệu email nhạy cảm, cuối cùng dẫn đến việc kiểm soát quản trị trên các trang web bị ảnh hưởng.
Tổng Quan Về Plugin Post SMTP
Plugin Post SMTP, được phát triển bởi Saad Iqbal của WPExperts, là một giải pháp gửi email cho WordPress. Nó cho phép chủ sở hữu trang web cấu hình các dịch vụ gửi thư tùy chỉnh.
Các tính năng nổi bật bao gồm ghi nhật ký email (email logging), xác thực DNS và hỗ trợ OAuth. Tuy nhiên, một lỗ hổng cơ bản trong cơ chế kiểm soát truy cập của plugin đã tạo ra rủi ro bảo mật đáng kể cho một lượng lớn người dùng.
Phân Tích Lỗ Hổng CVE-2025-24000
Nguyên Nhân Gốc Rễ: Broken Access Control
Nguyên nhân gốc rễ của lỗ hổng CVE này nằm ở cơ chế kiểm soát truy cập bị lỗi (broken access control) trong các điểm cuối (endpoints) của REST API của plugin.
Trong các phiên bản bị ảnh hưởng, các điểm cuối này chỉ kiểm tra xem người dùng đã đăng nhập vào hệ thống hay chưa. Chúng hoàn toàn không xác minh đặc quyền hoặc cấp độ quyền hạn thực tế của người dùng đó.
Sự giám sát nghiêm trọng này cho phép bất kỳ người dùng đã đăng ký nào, kể cả những tài khoản có đặc quyền cơ bản như người đăng ký (Subscriber) – vốn không có quyền quản trị, thực hiện các hành động trái phép.
Cơ Chế Khai Thác và Tác Động
Các chức năng bị xâm phạm bao gồm xem thống kê số lượng email, gửi lại email và nguy hiểm nhất là truy cập nhật ký email chi tiết chứa toàn bộ nội dung email.
Việc truy cập trái phép này tạo ra một lộ trình trực tiếp cho các cuộc tấn công chiếm quyền điều khiển tài khoản. Kẻ tấn công có thể chặn các email đặt lại mật khẩu và các thông tin liên lạc nhạy cảm khác dành cho người dùng có đặc quyền cao hơn, bao gồm cả quản trị viên trang web.
Lỗ hổng CVE này xuất phát từ hàm get_logs_permission trong quá trình triển khai REST API của plugin. Mỗi tuyến REST API chỉ dựa vào hàm này để xác thực quyền, nhưng nó chỉ chứa một kiểm tra cơ bản là is_user_logged_in().
Hàm này đã không tích hợp các xác minh đặc quyền bổ sung, chẳng hạn như kiểm tra xem người dùng có khả năng manage_options cần thiết hay không – khả năng này thường chỉ dành cho quản trị viên.
Cấu trúc quyền không đầy đủ này cho phép bất kỳ người dùng đã xác thực nào truy cập các điểm cuối REST API như /get-details. Điều này cho phép họ truy xuất dữ liệu giao dịch email nhạy cảm mà không có ủy quyền thích hợp.
Lỗ hổng này đã bỏ qua một cách hiệu quả hệ thống vai trò người dùng và khả năng tích hợp sẵn của WordPress, tạo ra một cửa hậu quản trị trái phép.
Các Biện Pháp Khắc Phục và Khuyến Nghị
Bản Vá Bảo Mật Đã Phát Hành
Lỗ hổng CVE đã được vá thành công trong phiên bản Post SMTP 3.3.0. Phiên bản cập nhật này được phát hành nhằm khắc phục vấn đề bảo mật nghiêm trọng đã nêu.
Phiên bản cập nhật triển khai kiểm tra đặc quyền phù hợp trong hàm get_logs_permission. Điều này đảm bảo rằng chỉ những người dùng có khả năng quản trị phù hợp mới có thể truy cập các tính năng quản lý email nhạy cảm.
Hành Động Cần Thiết Ngay Lập Tức
Tất cả người dùng Post SMTP đang chạy phiên bản 3.2.0 hoặc cũ hơn cần hành động ngay lập tức. Các quản trị viên trang web nên cập nhật lên phiên bản 3.3.0 ngay lập tức để bảo vệ khỏi các cuộc khai thác tiềm tàng.
Ngoài ra, chủ sở hữu trang web nên xem xét các tài khoản người dùng và nhật ký truy cập để tìm bất kỳ hoạt động đáng ngờ nào có thể đã xảy ra trước khi triển khai bản vá bảo mật này.
Sự cố này nhấn mạnh tầm quan trọng của việc triển khai xác thực quyền toàn diện trong các plugin WordPress, đặc biệt là những plugin xử lý dữ liệu nhạy cảm như liên lạc email. Việc thường xuyên kiểm tra các thông tin về lỗ hổng CVE mới nhất trên các nguồn đáng tin cậy như NVD là rất quan trọng để duy trì an ninh mạng.
