Một cảnh báo bảo mật ở mức độ nghiêm trọng vừa được đưa ra cho cộng đồng người dùng WordPress, đặc biệt là những ai đang sử dụng theme trả phí Service Finder. Các nhóm tin tặc đang tích cực khai thác một lỗ hổng nghiêm trọng trong theme này, cho phép chúng chiếm quyền truy cập vào bất kỳ tài khoản nào, bao gồm cả tài khoản administrator, để chiếm toàn quyền kiểm soát website. Lỗ hổng này được định danh là CVE-2025-5947, với điểm CVSS lên tới 9.8/10, cho thấy mức độ nguy hiểm cực kỳ cao.
Chi tiết về lỗ hổng CVE-2025-5947
Vấn đề không nằm trực tiếp ở theme mà ở một plugin đi kèm có tên là Service Finder Bookings. Theo nhà nghiên cứu bảo mật István Márton từ Wordfence, “lỗ hổng này cho phép một kẻ tấn công không cần xác thực có thể truy cập vào bất kỳ tài khoản nào trên trang web, kể cả các tài khoản có vai trò administrator.”
Nguyên nhân cốt lõi là một lỗi Authentication Bypass dẫn đến leo thang đặc quyền. Cụ thể, hàm service_finder_switch_back() trong plugin đã không kiểm tra và xác thực đúng giá trị cookie của người dùng trước khi thực hiện chức năng chuyển đổi tài khoản.
Kẻ tấn công có thể lợi dụng sai sót này để đăng nhập vào trang web dưới danh nghĩa của bất kỳ người dùng nào mà không cần mật khẩu. Một khi đã có quyền quản trị, chúng có thể thực hiện mọi hành vi phá hoại.
Mức độ ảnh hưởng và Rủi ro
- Các phiên bản bị ảnh hưởng: Tất cả các phiên bản của theme Service Finder từ 6.0 trở về trước.
- Quy mô: Theo dữ liệu từ chợ giao diện Envato Market, theme này đã được bán cho hơn 6,100 khách hàng, cho thấy số lượng website có nguy cơ bị ảnh hưởng là rất lớn.
Khi chiếm được quyền quản trị, kẻ tấn công có thể:
- Chèn mã độc để chuyển hướng người dùng đến các trang web lừa đảo.
- Sử dụng website của bạn để lưu trữ và phát tán phần mềm độc hại.
- Đánh cắp dữ liệu nhạy cảm của người dùng và doanh nghiệp.
- Tạo các tài khoản administrator ẩn để duy trì quyền truy cập lâu dài.
Tình hình khai thác thực tế
Công ty bảo mật WordPress Wordfence cho biết họ đã phát hiện các hoạt động khai thác nhắm vào lỗ hổng CVE-2025-5947 kể từ ngày 1 tháng 8 năm 2025. Cho đến nay, hệ thống của họ đã ghi nhận hơn 13,800 attempts detected.
Các administrator nên kiểm tra log của máy chủ để xem có các truy cập đáng ngờ từ những địa chỉ IP sau đây hay không:
5.189.221.98185.109.21.157192.121.16.196194.68.32.71178.125.204.198
Giải pháp và Khuyến nghị khẩn cấp
Các nhà phát triển theme đã khắc phục lỗ hổng này vào ngày 17 tháng 7 năm 2025, với việc phát hành phiên bản 6.1.
Nếu bạn đang sử dụng theme Service Finder, hãy thực hiện ngay các bước sau:
- Kiểm tra phiên bản: Login vào trang admin WordPress, đi tới mục Appearance -> Themes để kiểm tra phiên bản hiện tại của Service Finder.
- Cập nhật ngay lập tức: Nếu phiên bản của bạn là 6.0 hoặc cũ hơn, hãy cập nhật lên phiên bản 6.1 hoặc mới hơn ngay lập tức.
- Rà soát hệ thống: Sau khi cập nhật, hãy kiểm tra toàn bộ website để tìm các dấu hiệu bất thường như: tài khoản người dùng lạ đặc biệt là administrator, các file lạ mới được tải lên, hoặc các đoạn mã đáng ngờ được chèn vào file của theme/plugin.
Đây là một mối đe dọa nghiêm trọng và đang diễn ra. Việc cập nhật và kiểm tra website là hành động cần thiết để bảo vệ tài sản số của bạn và dữ liệu của người dùng.
