Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong RomethemeKit For Elementor, một plugin WordPress phổ biến hiện đang được triển khai trên hơn 30.000 website trên toàn cầu. Lỗ hổng này có thể cho phép người dùng đã xác thực thực hiện thực thi mã từ xa (Remote Code Execution – RCE), từ đó chiếm quyền kiểm soát hoàn toàn website và máy chủ lưu trữ. Nguyên nhân chính xuất phát từ việc plugin cấp quyền không đúng cách và thiếu các cơ chế kiểm tra bảo mật cần thiết.
Lỗ hổng được định danh là CVE-2025-30911 và được đánh giá mức độ rất nghiêm trọng với điểm CVSS 9.9/10. Theo phân tích kỹ thuật, điểm yếu nằm trong hàm install_requirements() của plugin, hàm này có thể được gọi thông qua hook wp_ajax_install_requirements. Tuy nhiên, hàm lại không thực hiện kiểm tra quyền truy cập người dùng cũng như không xác thực nonce – một cơ chế quan trọng trong WordPress nhằm ngăn chặn các yêu cầu giả mạo.
Do thiếu các lớp bảo vệ này, bất kỳ người dùng nào đã đăng nhập vào website, kể cả tài khoản có vai trò thấp nhất như Subscriber, đều có thể khai thác lỗ hổng. Kẻ tấn công có thể tùy ý kích hoạt và cài đặt plugin trên website, bao gồm cả các plugin độc hại do chúng kiểm soát. Khi plugin độc hại được cài đặt và kích hoạt thành công, kẻ tấn công có thể thực thi mã tùy ý trên máy chủ, từ đó chiếm quyền kiểm soát website, đánh cắp dữ liệu, chèn mã độc hoặc sử dụng hệ thống làm bàn đạp cho các cuộc tấn công tiếp theo.
RomethemeKit For Elementor là plugin được thiết kế nhằm hỗ trợ người dùng xây dựng website nhanh chóng với Elementor, cung cấp nhiều mẫu giao diện, widget, biểu tượng và khối thiết kế sẵn. Nhờ hướng đến nhóm người dùng không chuyên lập trình, plugin này được sử dụng rộng rãi trong các website doanh nghiệp nhỏ, blog cá nhân và cửa hàng trực tuyến. Chính vì mức độ phổ biến này, lỗ hổng CVE-2025-30911 được đánh giá là có phạm vi ảnh hưởng lớn và đặc biệt nguy hiểm nếu bị khai thác hàng loạt.
Các chuyên gia an ninh mạng khuyến cáo quản trị viên WordPress cần kiểm tra ngay xem website của mình có đang sử dụng RomethemeKit For Elementor hay không. Nếu có, cần nâng cấp lên phiên bản 1.5.5 hoặc mới hơn, nơi lỗ hổng đã được nhà phát triển vá hoàn toàn. Bên cạnh đó, quản trị viên cũng nên rà soát lại các tài khoản người dùng, hạn chế cấp quyền đăng nhập không cần thiết, đồng thời triển khai các biện pháp bảo mật bổ sung như tường lửa ứng dụng web (WAF) và giám sát hoạt động bất thường. Việc cập nhật kịp thời và quản lý quyền truy cập chặt chẽ là yếu tố then chốt để giảm thiểu rủi ro trước các lỗ hổng nghiêm trọng trong hệ sinh thái WordPress.
