-
09/04/2020
-
141
-
1.956 bài viết
Lỗ hổng nghiêm trọng trong plugin Kirki đe dọa hơn 500.000 website WordPress
Một lỗ hổng nghiêm trọng vừa được phát hiện trong Kirki, plugin phổ biến hỗ trợ tùy biến giao diện và xây dựng trang trên nền tảng WordPress, ảnh hưởng tới hơn 500.000 website trên toàn cầu. Sự cố này có thể dẫn tới tấn công leo thang đặc quyền, qua đó cho phép chiếm đoạt tài khoản quản trị và kiểm soát toàn bộ website.
Lỗ hổng được gán mã CVE-2026-8206 với điểm CVSS 9.8, ảnh hưởng đến các phiên bản Kirki từ 6.0.0 đến 6.0.6. Lỗ hổng cho phép kẻ tấn công không cần xác thực chiếm quyền tài khoản thông qua cơ chế đặt lại mật khẩu bị thiết kế sai logic.
CVE-2026-8206 nằm trong cách plugin triển khai REST API cho chức năng quên mật khẩu, cụ thể tại hàm handle_forgot_password(). Trong quá trình xử lý yêu cầu, hệ thống chấp nhận đồng thời hai tham số từ phía người dùng là tên đăng nhập và địa chỉ email, nhưng không thực hiện kiểm tra chéo để xác minh mối quan hệ giữa hai giá trị này.
Trong một thiết kế an toàn, yêu cầu đặt lại mật khẩu phải luôn được ràng buộc chặt với dữ liệu định danh trong cơ sở dữ liệu, nghĩa là token khôi phục chỉ được sinh và gửi tới đúng địa chỉ email đã liên kết với tài khoản tương ứng. Tuy nhiên, ở các phiên bản bị ảnh hưởng, sau khi xác định đúng username, hệ thống lại bỏ qua email gốc của tài khoản và thay vào đó ưu tiên giá trị email được cung cấp trực tiếp trong request.
Cơ chế xử lý sai lệch này mở ra một kịch bản khai thác đơn giản nhưng hiệu quả. Kẻ tấn công chỉ cần gửi yêu cầu đặt lại mật khẩu với username của nạn nhân, chẳng hạn tài khoản quản trị viên, đồng thời chèn vào một địa chỉ email do mình kiểm soát. Do hệ thống không kiểm tra mối liên hệ giữa hai giá trị này, yêu cầu vẫn được chấp nhận và token khôi phục hợp lệ được tạo ra. Tuy nhiên, thay vì gửi về email gốc của tài khoản, liên kết đặt lại mật khẩu lại được chuyển đến email do kẻ tấn công cung cấp.
Khi nhận được liên kết, kẻ tấn công có thể thiết lập mật khẩu mới và giành quyền truy cập vào tài khoản mục tiêu. Từ đây, toàn bộ website có thể bị kiểm soát ở mức quản trị cao nhất, mở đường cho các hoạt động hậu khai thác như cài plugin độc hại, chèn backdoor, tạo tài khoản quản trị ẩn hoặc triển khai webshell để duy trì truy cập lâu dài.
Wordfence đã phối hợp với nhà phát triển Themeum vào ngày 15/5/2026 để xử lý CVE-2026-820. Bản vá sau đó được phát hành sau 3 ngày trong phiên bản Kirki 6.0.7. Các chuyên gia khuyến nghị quản trị viên website cập nhật ngay plugin Kirki lên phiên bản 6.0.7 hoặc mới hơn để đảm bảo an toàn hệ thống, đồng thời triển khai thêm các quy tắc tường lửa ứng dụng web để phát hiện và chặn các hành vi khai thác liên quan đến chức năng đặt lại mật khẩu.
Với mức độ khai thác đơn giản nhưng có thể dẫn đến chiếm quyền kiểm soát hoàn toàn website, CVE-2026-8206 được đánh giá là rủi ro nghiêm trọng đối với hệ sinh thái WordPress, đặc biệt trên các hệ thống có chức năng đăng nhập công khai hoặc dễ bị dò quét tài khoản. Việc cập nhật bản vá kịp thời, kết hợp giám sát các hoạt động đặt lại mật khẩu bất thường, được xem là biện pháp quan trọng nhằm giảm thiểu nguy cơ bị xâm nhập.