Lỗ hổng nghiêm trọng trên plugin WordPress phổ biến đe dọa hàng triệu website
- Thảo Nguyên

- 2 ngày trước
- 5 phút đọc
Nếu doanh nghiệp đang vận hành một trang web bằng nền tảng WordPress và sử dụng công cụ đăng nhập một lần (SSO), đây là thông tin bảo mật đặc biệt quan trọng không thể bỏ qua. Một lỗ hổng bảo mật vừa bị phát hiện trên một plugin quen thuộc, mở đường cho kẻ xấu từ xa chiếm quyền kiểm soát hoàn toàn hệ thống.
Lỗ hổng bảo mật này nghiêm trọng như thế nào?
Sự cố bảo mật này xảy ra bên trong plugin WordPress OAuth Single Sign-On (SSO (OAuth Client) - một công cụ do đơn vị miniOrange phát triển. Lỗ hổng này đã được tổ chức bảo mật Patchstack công bố rộng rãi vào ngày 9 tháng 7 năm 2026 với mã định danh CVE-2026-57807.
Mức độ nguy hiểm của lỗ hổng này được đánh giá ở mức báo động đỏ, đạt điểm số CVSS là 9.8/10 (gần như tuyệt đối). Điều đáng lo ngại là các cuộc tấn công khai thác lỗi này rất dễ thực hiện:
Không cần tài khoản: Kẻ tấn công không cần phải đăng nhập hay sở hữu bất kỳ quyền truy cập nào trước đó.
Không cần người dùng tương tác: Hệ thống có thể bị xâm nhập mà không cần quản trị viên hay người dùng bấm vào bất kỳ đường link nào.
Độ phức tạp thấp: Lỗi có thể bị khai thác dễ dàng từ bất kỳ đâu thông qua mạng internet.
Cách thức kẻ tấn công chiếm quyền kiểm soát trang web
Về mặt kỹ thuật, lỗi này được xếp vào nhóm Lỗi xác thực (thuộc danh mục A7: Lỗi nhận dạng và xác thực của tiêu chuẩn bảo mật OWASP Top 10). Kẻ xấu sẽ lợi dụng một lỗ hổng trong cơ chế khôi phục mật khẩu của plugin (được phân loại theo mã lỗi CWE-288 và CAPEC-50).
Cụ thể, hệ thống tồn tại một lộ trình xác thực thay thế nhưng lại không thiết lập các biện pháp kiểm tra an toàn. Khi đi qua "lối tắt" này, kẻ tấn công có thể vượt qua hàng rào đăng nhập và tự ý giả danh bất kỳ người dùng nào trên website, bao gồm cả tài khoản có quyền quản trị cao nhất (Administrator).
Một khi đã chiếm được quyền admin, kẻ xấu toàn quyền quyết định số phận của trang web, gây ra các hậu quả nặng nề như:
Đánh cắp các dữ liệu quan trọng.
Chèn các nội dung độc hại lên giao diện.
Cài đặt cửa hậu (backdoor) để bí mật quay lại hệ thống sau này.
Tấn công sâu hơn vào toàn bộ môi trường máy chủ lưu trữ website.
Những phiên bản bị ảnh hưởng và nguy cơ tấn công diện rộng
Mối đe dọa này hiện hữu trên tất cả các phiên bản của plugin tính từ bản 38.5.8 trở về trước.
Patchstack đã phân loại đây là lỗ hổng cần ưu tiên xử lý khẩn cấp. Các chuyên gia dự báo lỗ hổng này sẽ sớm bị lợi dụng trong các chiến dịch quét và tấn công tự động hàng loạt. Kẻ xấu có thể nhắm vào hàng nghìn website cùng lúc mà không cần quan tâm đến quy mô hay lượng truy cập của trang web đó lớn hay nhỏ.
Giải pháp ứng phó khẩn cấp cho các quản trị viên
Ở thời điểm hiện tại, nhà phát triển miniOrange chưa phát hành bản vá chính thức cho lỗ hổng này. Mặc dù vậy, để bảo vệ người dùng, Patchstack đã tung ra một bản vá ảo (virtual patch) nhằm ngăn chặn tạm thời các hành vi dò tìm và khai thác từ xa.
Để đảm bảo an toàn tuyệt đối, các quản trị viên web được khuyến nghị thực hiện ngay các bước sau:
Gỡ bỏ khẩn cấp: Khuyến nghị mạnh mẽ nhất lúc này là tạm thời hủy kích hoạt và xóa bỏ hoàn toàn plugin này khỏi tất cả các hệ thống WordPress đang hoạt động trên internet cho đến khi nhà phát triển có bản cập nhật bảo mật chính thức.
Biện pháp thay thế tạm thời: Trong trường hợp chưa thể gỡ bỏ plugin ngay lập tức, bạn cần thiết lập các quy tắc trên Tường lửa ứng dụng web (WAF) hoặc thiết lập danh sách các địa chỉ IP được phép truy cập (allowlisting) để khóa chặt các đường dẫn đăng nhập và khôi phục mật khẩu của WordPress, giảm thiểu tối đa bề mặt có thể bị tấn công.
Lỗ hổng nghiêm trọng này ban đầu được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật Kim Dvash vào ngày 6 tháng 6 năm 2026. Sau đó, Cơ sở dữ liệu lỗ hổng quốc gia (NVD) đã chính thức ghi nhận mã lỗi vào ngày 10 tháng 7 năm 2026. Trong thời gian chờ đợi giải pháp triệt để, các quản trị viên cần chủ động theo dõi sát sao kho lưu trữ ứng dụng WordPress cũng như các thông báo mới nhất từ miniOrange để cập nhật bản vá ngay khi được phát hành.
Giải pháp an ninh mạng hàng đầu cho doanh nghiệp từ IPSIP Việt Nam
Có thể thấy, doanh nghiệp hiện tại luôn phải đối mặt với rất nhiều rủi ro an ninh mạng phổ biến. Không chỉ dừng lại ở các lỗ hổng hệ thống trên nền tảng vận hành trang web WordPress kể trên, các tổ chức còn phải đối diện với hàng trăm hiểm họa tinh vi khác rình rập mỗi ngày. Nếu không được kiểm soát kịp thời, những rủi ro này sẽ dẫn đến nguy cơ rò rỉ dữ liệu, gây gián đoạn hệ thống và ảnh hưởng trực tiếp đến kết quả kinh doanh.
Đứng trước các mối đe dọa đó, điều doanh nghiệp cần nhất lúc này là những giải pháp chủ động để phòng ngừa và ngăn chặn tối đa rủi ro, thay vì thụ động chờ đợi sự cố xảy ra. Để thiết lập hệ thống phòng thủ toàn diện và bảo vệ tài sản số, tổ chức có thể tham khảo giải pháp an ninh mạng hàng đầu cho doanh nghiệp của IPSIP Việt Nam.

Với hệ sinh thái bảo mật chuẩn quốc tế (đạt chứng nhận ISO 27001 và SOC 2 Type II), IPSIP cung cấp đa dạng các dịch vụ chuyên sâu như:
Đây chính là những lá chắn vững chắc giúp doanh nghiệp phát hiện sớm lỗ hổng, phản ứng tức thời với các cuộc tấn công và duy trì sự ổn định lâu dài cho hoạt động vận hành.











Bình luận