-
09/04/2020
-
141
-
2.025 bài viết
Hàng triệu website WordPress có nguy cơ bị chiếm quyền do lỗi plugin SSO
Hàng triệu website WordPress có thể đối mặt nguy cơ bị chiếm quyền sau khi các nhà nghiên cứu phát hiện một lỗ hổng nghiêm trọng trong plugin OAuth Single Sign-On của miniOrange. Lỗi này cho phép tin tặc bỏ qua quy trình đăng nhập và mạo danh bất kỳ người dùng nào trên hệ thống.
Lỗ hổng được định danh là CVE-2026-57807, đạt điểm CVSS 9.8/10 và ảnh hưởng đến tất cả phiên bản plugin WordPress OAuth Single Sign-On (SSO OAuth Client) từ 38.5.8 trở về trước. Theo Patchstack, đây là lỗi thuộc nhóm Broken Authentication trong OWASP Top 10, phát sinh từ cơ chế khôi phục mật khẩu của plugin. Quá trình phân tích cho thấy một luồng xử lý thay thế trong chức năng này không áp dụng đầy đủ các biện pháp xác thực, tạo ra khả năng bỏ qua quy trình kiểm tra danh tính. Lỗ hổng được phân loại theo CWE-288 (Authentication Bypass Using an Alternate Path or Channel), một dạng lỗi cho phép truy cập hệ thống thông qua các kênh hoặc quy trình không được bảo vệ bằng cơ chế xác thực tương đương với luồng đăng nhập thông thường.
Theo Patchstack, việc khai thác CVE-2026-57807 không yêu cầu xác thực trước, không cần quyền truy cập ban đầu vào hệ thống và không đòi hỏi bất kỳ tương tác nào từ phía người dùng. Bằng cách lợi dụng điểm yếu trong cơ chế khôi phục mật khẩu của plugin, kẻ tấn công có thể bỏ qua các bước xác minh danh tính được thiết kế để bảo vệ quá trình đăng nhập. Khi khai thác thành công, đối tượng tấn công có khả năng xác thực dưới danh nghĩa bất kỳ tài khoản WordPress nào trên website mục tiêu.
Việc có thể đăng nhập với quyền của tài khoản quản trị viên cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn website mục tiêu. Hệ quả bao gồm thay đổi nội dung trang web, cài đặt mã độc, đánh cắp dữ liệu, tạo tài khoản đặc quyền trái phép và sử dụng hệ thống bị xâm nhập để phục vụ các hoạt động tấn công tiếp theo.
Với khả năng bị khai thác từ xa mà không cần xác thực cùng mức độ phức tạp thấp, CVE-2026-57807 được Patchstack đánh giá là lỗ hổng cần ưu tiên khắc phục. Đơn vị này cảnh báo lỗi có thể nhanh chóng trở thành mục tiêu của các chiến dịch quét và khai thác tự động, đặc biệt trong bối cảnh plugin bị ảnh hưởng đang được triển khai trên số lượng lớn website WordPress.
Lỗ hổng được nhà nghiên cứu bảo mật Kim Dvash phát hiện và báo cáo cho nhà phát triển miniOrange vào ngày 6/6/2026. Thông tin về CVE-2026-57807 sau đó được Patchstack công bố vào ngày 9/7, trước khi mã định danh này được Cơ sở dữ liệu Lỗ hổng Quốc gia Mỹ (NVD) chính thức ghi nhận một ngày sau đó.
Tại thời điểm công bố, miniOrange chưa phát hành bản vá cho CVE-2026-57807. Để giảm thiểu nguy cơ bị khai thác, Patchstack đã triển khai cơ chế vá ảo nhằm chặn các hoạt động tấn công đã được ghi nhận. Các quản trị viên được khuyến nghị rà soát hệ thống và ngừng sử dụng plugin trên các website công khai Internet cho đến khi có bản cập nhật bảo mật chính thức. Trong trường hợp chưa thể gỡ bỏ ngay, việc hạn chế truy cập tới các trang đăng nhập và khôi phục mật khẩu bằng WAF hoặc cơ chế kiểm soát địa chỉ IP có thể giúp thu hẹp bề mặt tấn công.
Sự cố lần này tiếp tục cho thấy các thành phần mở rộng liên quan đến xác thực và quản lý danh tính vẫn là mục tiêu được giới tấn công đặc biệt quan tâm. Với số lượng lớn website WordPress sử dụng plugin OAuth Single Sign-On (SSO OAuth Client), CVE-2026-57807 được dự báo sẽ tiếp tục thu hút sự chú ý của cộng đồng bảo mật cho đến khi bản vá chính thức được phát hành.
Theo Patchstack, việc khai thác CVE-2026-57807 không yêu cầu xác thực trước, không cần quyền truy cập ban đầu vào hệ thống và không đòi hỏi bất kỳ tương tác nào từ phía người dùng. Bằng cách lợi dụng điểm yếu trong cơ chế khôi phục mật khẩu của plugin, kẻ tấn công có thể bỏ qua các bước xác minh danh tính được thiết kế để bảo vệ quá trình đăng nhập. Khi khai thác thành công, đối tượng tấn công có khả năng xác thực dưới danh nghĩa bất kỳ tài khoản WordPress nào trên website mục tiêu.
Việc có thể đăng nhập với quyền của tài khoản quản trị viên cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn website mục tiêu. Hệ quả bao gồm thay đổi nội dung trang web, cài đặt mã độc, đánh cắp dữ liệu, tạo tài khoản đặc quyền trái phép và sử dụng hệ thống bị xâm nhập để phục vụ các hoạt động tấn công tiếp theo.
Với khả năng bị khai thác từ xa mà không cần xác thực cùng mức độ phức tạp thấp, CVE-2026-57807 được Patchstack đánh giá là lỗ hổng cần ưu tiên khắc phục. Đơn vị này cảnh báo lỗi có thể nhanh chóng trở thành mục tiêu của các chiến dịch quét và khai thác tự động, đặc biệt trong bối cảnh plugin bị ảnh hưởng đang được triển khai trên số lượng lớn website WordPress.
Lỗ hổng được nhà nghiên cứu bảo mật Kim Dvash phát hiện và báo cáo cho nhà phát triển miniOrange vào ngày 6/6/2026. Thông tin về CVE-2026-57807 sau đó được Patchstack công bố vào ngày 9/7, trước khi mã định danh này được Cơ sở dữ liệu Lỗ hổng Quốc gia Mỹ (NVD) chính thức ghi nhận một ngày sau đó.
Tại thời điểm công bố, miniOrange chưa phát hành bản vá cho CVE-2026-57807. Để giảm thiểu nguy cơ bị khai thác, Patchstack đã triển khai cơ chế vá ảo nhằm chặn các hoạt động tấn công đã được ghi nhận. Các quản trị viên được khuyến nghị rà soát hệ thống và ngừng sử dụng plugin trên các website công khai Internet cho đến khi có bản cập nhật bảo mật chính thức. Trong trường hợp chưa thể gỡ bỏ ngay, việc hạn chế truy cập tới các trang đăng nhập và khôi phục mật khẩu bằng WAF hoặc cơ chế kiểm soát địa chỉ IP có thể giúp thu hẹp bề mặt tấn công.
Sự cố lần này tiếp tục cho thấy các thành phần mở rộng liên quan đến xác thực và quản lý danh tính vẫn là mục tiêu được giới tấn công đặc biệt quan tâm. Với số lượng lớn website WordPress sử dụng plugin OAuth Single Sign-On (SSO OAuth Client), CVE-2026-57807 được dự báo sẽ tiếp tục thu hút sự chú ý của cộng đồng bảo mật cho đến khi bản vá chính thức được phát hành.