Một lỗ hổng nghiêm trọng về chèn đối tượng PHP (CVE-2025-7384, CVSS 9.8) trong plugin “Cơ sở dữ liệu cho Contact Form 7, WPForms, Elementor Forms”  đó là lỗ hổng RCE khiến hơn 70.000 trang web WordPress có nguy cơ bị thực thi mã từ xa. Hãy cập nhật lên phiên bản 1.4.4 ngay lập tức. Vì thế việc nhiều website wordpress bị đe dọa bởi lỗ hổng RCE nghiệm trọng trong plugin có thể sẽ xảy ra, bài viết này cùng Webo tìm hiểu nguồn gốc nguyên nhân và cách khắc phục của sự cố này nhé.

1. RCE là gì?

RCE (Remote Code Execution) hay Thực thi mã từ xa là một loại lỗ hổng bảo mật nghiêm trọng cho phép kẻ tấn công chạy mã tùy ý trên máy chủ hoặc hệ thống nạn nhân từ xa, mà không cần có quyền truy cập trực tiếp.

Cách hoạt động của RCE

• Hacker tìm ra lỗ hổng trong ứng dụng (ví dụ plugin WordPress).
• Thông qua lỗ hổng này, họ gửi một đoạn mã độc (payload) tới hệ thống.
• Máy chủ xử lý dữ liệu đầu vào mà không kiểm soát chặt chẽ, dẫn đến việc thực thi đoạn mã đó.

Nguy hiểm của RCE

• Chiếm toàn bộ quyền điều khiển website.
• Cài đặt backdoor để truy cập vĩnh viễn.
• Đánh cắp dữ liệu khách hàng (email, mật khẩu, thông tin thanh toán).
• Triển khai tấn công chuỗi: dùng website của bạn để tấn công hệ thống khác.

2. Lỗ hổng nghiêm trọng của plugin WordPress khiến hơn 70.000 trang web có nguy cơ bị thực thi mã từ xa.

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến “Database for Contact Form 7, WPforms, Elementor forms”, có khả năng khiến hơn 70.000 trang web bị tấn công thực thi mã từ xa.

Lỗ hổng bảo mật được theo dõi là CVE-2025-7384 với điểm CVSS tối đa là 9,8, ảnh hưởng đến tất cả các phiên bản lên đến 1.4.3 và được công bố rộng rãi vào ngày 12 tháng 8 năm 2025.

Lỗ hổng này bắt nguồn từ PHP Object Injection thông qua việc hủy tuần tự hóa dữ liệu đầu vào không đáng tin cậy trong hàm get_lead_detail của plugin, cho phép kẻ tấn công chưa xác thực đưa các đối tượng PHP độc hại mà không cần bất kỳ thông tin xác thực hoặc tương tác nào của người dùng. Lỗ hổng này khai thác việc hủy tuần tự hóa dữ liệu không đáng tin cậy, một phương thức tấn công phổ biến khi các đối tượng tuần tự hóa độc hại được ứng dụng xử lý mà không có xác thực phù hợp.

Nhà nghiên cứu bảo mật mikemyers đã xác định được điểm yếu cụ thể trong cơ chế xử lý dữ liệu của plugin, trong đó dữ liệu do người dùng cung cấp được hủy tuần tự hóa trực tiếp mà không cần kiểm tra khử trùng. Điều khiến lỗ hổng này đặc biệt nguy hiểm là sự hiện diện của chuỗi Lập trình hướng thuộc tính (POP) trong plugin Contact Form 7, thường được cài đặt cùng với plugin cơ sở dữ liệu dễ bị tấn công.

Chuỗi POP này cho phép kẻ tấn công nâng cấp khả năng chèn đối tượng ban đầu thành khả năng xóa tệp tùy ý, có khả năng nhắm mục tiêu vào các tệp hệ thống quan trọng như wp-config[.]php. Khi các tệp cấu hình WordPress cốt lõi bị xóa, nó có thể dẫn đến xâm phạm toàn bộ hệ thống hoặc kích hoạt các tình huống thực thi mã từ xa. Phương thức tấn công này không yêu cầu xác thực , khiến kẻ xấu có thể dễ dàng tiếp cận.

Chuỗi vectơ CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H chỉ ra các cuộc tấn công dựa trên mạng có độ phức tạp thấp, không yêu cầu đặc quyền và có tác động cao đến tính bảo mật, tính toàn vẹn và tính khả dụng.

3. Biện pháp website wordpress bị đe dọa bởi lỗ hổng RCE

Quản trị viên trang web sử dụng plugin bị ảnh hưởng nên cập nhật ngay lên phiên bản 1.4.4 hoặc mới hơn, có chứa các bản vá bảo mật cần thiết. Lỗ hổng đã được giải quyết thông qua cơ chế xác thực và khử trùng đầu vào thích hợp trong hàm get_lead_detail, ngăn chặn việc đưa đối tượng độc hại vào.

Do tính chất nghiêm trọng của lỗ hổng này và khả năng khai thác rộng rãi, các chuyên gia bảo mật khuyến nghị nên triển khai các biện pháp bảo vệ bổ sung bao gồm Tường lửa ứng dụng web (WAF) và giám sát bảo mật thường xuyên.

Các tổ chức cũng nên tiến hành kiểm tra bảo mật toàn diện các cài đặt WordPress của mình, đặc biệt tập trung vào các plugin xử lý biểu mẫu có chức năng xử lý dữ liệu đầu vào của người dùng.

Việc nhanh chóng phát hiện và vá lỗ hổng này nhấn mạnh tầm quan trọng của việc duy trì môi trường WordPress được cập nhật và vai trò quan trọng của các nhà nghiên cứu bảo mật trong việc xác định các lỗ hổng có khả năng gây thiệt hại nghiêm trọng trước khi chúng có thể bị khai thác trên quy mô lớn.

4. Kết luận

Lỗ hổng PHP Object Injection (CVE-2025-7384) trong plugin Database for Contact Form 7, WPForms, Elementor Forms là mối đe dọa nghiêm trọng đối với hơn 70.000 website WordPress. Do lỗi này cho phép kẻ tấn công từ xa xóa file hoặc thực thi mã tùy ý mà không cần xác thực, quản trị viên cần ngay lập tức cập nhật lên phiên bản 1.4.4 hoặc mới hơn, đồng thời triển khai các biện pháp bổ sung như Web Application Firewall (WAF), giám sát log hệ thống và sao lưu định kỳ.

Chủ động xử lý sớm sẽ giúp giảm thiểu nguy cơ bị tấn công và đảm bảo website hoạt động an toàn, ổn định. Nếu bạn muốn website của mình luôn an toàn, bảo mật website, tối ưu tốc độ và chuẩn SEO, hãy tham khảo ngay dịch vụ thiết kế và tối ưu website của Webo – giải pháp toàn diện giúp bạn yên tâm phát triển kinh doanh trực tuyến.