Cảnh báo: Lỗ hổng nghiêm trọng trên plugin WP Maps Pro đang bị khai thác để chiếm quyền điều khiển website WordPress

Nếu website WordPress của bạn đang sử dụng plugin bản đồ cao cấp WP Maps Pro để hiển thị vị trí cửa hàng hay tích hợp bản đồ, bạn cần kiểm tra hệ thống ngay lập tức.

Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng bảo mật cực kỳ nguy hiểm đang bị tin tặc tích cực khai thác ngoài thực tế để âm thầm chiếm đoạt toàn bộ quyền quản trị của trang web.

Lỗ hổng bảo mật CVE-2026-8732 nguy hiểm như thế nào?

WP Maps Pro là một tiện ích mở rộng (plugin) khá phổ biến trên nền tảng WordPress, hỗ trợ các chủ website nhúng bản đồ tùy biến từ Google Maps hoặc OpenStreetMap đi kèm các tính năng định vị cửa hàng và chỉ đường nâng cao. Với hơn 15.000 lượt bán ra trên chợ ứng dụng trực tuyến Envato Market (CodeCanyon), số lượng trang web có nguy cơ bị ảnh hưởng bởi lỗ hổng này trên toàn cầu là rất lớn.

Lỗ hổng này đã được định danh quốc tế là CVE-2026-8732 với mức độ nghiêm trọng gần như tối đa, đạt điểm số CVSS lên tới 9.8/10. Theo các báo cáo được đăng tải trên SecurityWeek và The Hacker News, đây là lỗi thuộc nhóm "leo thang đặc quyền không cần xác thực". Điều này có nghĩa là một kẻ xa lạ từ bên ngoài, dù không hề có tài khoản hợp pháp trên hệ thống, vẫn có thể tự tạo cho mình một tài khoản với quyền cao nhất – quyền Quản trị viên (Administrator) – để nắm toàn quyền điều khiển website bị nạn.

Kẻ tấn công chiếm quyền quản trị bằng cách nào?

Nhà nghiên cứu bảo mật David Brown – người đầu tiên phát hiện ra lỗ hổng – giải thích rằng lỗi này bắt nguồn từ một tính năng có tên là "truy cập tạm thời" (temporary access). Đây là tính năng được thiết kế nhằm mục đích cho phép nhân viên hỗ trợ kỹ thuật của nhà phát triển plugin đăng nhập vào trang web của khách hàng để xử lý sự cố khi cần thiết.

Tuy nhiên, do sai sót trong quá trình lập trình, hàm xử lý yêu cầu này (wpgmp_temp_access_support) có thể bị gọi từ xa mà không có cơ chế kiểm tra danh tính thích hợp. Mặc dù hệ thống có sử dụng một chuỗi ký tự bảo mật (gọi là nonce) để xác thực yêu cầu, nhưng chuỗi này lại bị hiển thị công khai trên tất cả các trang giao diện bên ngoài (frontend) của website. Do đó, bất kỳ ai cũng có thể dễ dàng lấy được mã này và khiến lá chắn bảo mật của plugin trở nên vô dụng.

Khi tận dụng được sơ hở trên, kẻ tấn công chỉ cần gửi một lệnh đặc biệt yêu cầu bỏ qua bước kiểm tra thời gian tạm thời (check_temp=false). Hệ thống sẽ tự động tạo ra một người dùng WordPress mới với vai trò Quản trị viên vĩnh viễn và trả về một đường dẫn đăng nhập đặc biệt, giúp kẻ xấu bước thẳng vào hệ thống quản lý tối cao của trang web mà không gặp bất kỳ trở ngại nào.

Tình trạng khai thác thực tế lỗ hỏng bảo mật Wordpress

Theo phân tích từ các chuyên gia bảo mật được ghi nhận trên chuyên trang Threat Modeling, làn sóng tấn công nhắm vào các website cài đặt plugin này đã chính thức diễn ra trên diện rộng.

Hệ thống giám sát an ninh mạng ghi nhận đã có tới 2.858 cuộc tấn công khai thác lỗ hổng này chỉ trong vòng 24 giờ. Điều này cho thấy các nhóm tin tặc đang ráo riết chạy đua với thời gian, sử dụng các công cụ quét tự động để tìm kiếm và chiếm đoạt các website chưa kịp thực hiện các biện pháp phòng vệ.

Giải pháp khắc phục nhanh chóng cho quản trị viên

Lỗ hổng nguy hiểm này đe dọa tất cả các phiên bản của plugin WP Maps Pro từ phiên bản 6.1.0 trở về trước. Để bảo vệ an toàn cho tài nguyên và dữ liệu của trang web, các quản trị viên hệ thống cần khẩn trương thực hiện ngay các bước xử lý sau:

• Cập nhật phần mềm ngay lập tức: Tiến hành nâng cấp plugin WP Maps Pro lên phiên bản 6.1.1 càng sớm càng tốt. Nhà phát triển đã phát hành bản vá này để loại bỏ hoặc thắt chặt an ninh cho tính năng truy cập tạm thời bị lỗi.

• Vô hiệu hóa nếu chưa thể cập nhật: Trong trường hợp chưa thể nâng cấp phiên bản mới ngay, hãy tạm thời tắt (disable) hoặc gỡ bỏ hoàn toàn plugin này khỏi website để chặn đứng nguy cơ bị tấn công.

• Rà soát danh sách thành viên: Hãy truy cập vào mục quản lý người dùng trên bảng điều khiển WordPress để kiểm tra kỹ xem có sự xuất hiện của bất kỳ tài khoản Quản trị viên lạ mặt nào mới được tạo ra hay không. Nếu phát hiện dấu hiệu bất thường, cần tiến hành xóa bỏ tài khoản đó ngay và thực hiện các quy trình kiểm tra an ninh chuyên sâu.

Sự cố an ninh liên quan đến plugin WP Maps Pro là một lời nhắc nhở mạnh mẽ đối với các chủ website về tầm quan trọng của việc cập nhật phần mềm định kỳ. Trong thế giới mạng, việc chậm trễ cập nhật dù chỉ một ngày cũng có thể khiến toàn bộ hệ thống của doanh nghiệp đứng trước nguy cơ bị tê liệt hoặc rơi vào tay kẻ xấu. Hãy chủ động rà soát và thực hiện các biện pháp bảo mật ngay hôm nay để bảo vệ an toàn cho website của bạn.