Vào thứ Ba, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến Gladinet và Control Web Panel (CWP) vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với lý do có bằng chứng về việc khai thác tích cực trong thực tế.
Các lỗ hổng đang được đề cập được liệt kê dưới đây:
- CVE-2025-11371 (CVSS score: 7.5) - Một lỗ hổng trong các tệp hoặc thư mục có thể truy cập được bởi các bên bên ngoài trong Gladinet CentreStack và Triofox, có thể dẫn đến việc tiết lộ trái phép các tệp hệ thống.
- CVE-2025-48703 (CVSS score: 9.0) - Một lỗ hổng command injection trong Control Web Panel (trước đây là CentOS Web Panel) dẫn đến việc thực thi mã từ xa (remote code execution) mà không cần xác thực thông qua các ký tự đặc biệt của shell trong tham số t_total của yêu cầu filemanager changePerm.
Sự phát triển này diễn ra vài tuần sau khi công ty an ninh mạng Huntress cho biết họ đã phát hiện các nỗ lực khai thác tích cực nhắm vào CVE-2025-11371, với các tác nhân đe dọa không xác định lợi dụng lỗ hổng để chạy các lệnh trinh sát (ví dụ: ipconfig /all) được truyền dưới dạng Base64-encoded payload.
Tuy nhiên, hiện tại không có báo cáo công khai nào về cách CVE-2025-48703 đang bị vũ khí hóa trong các cuộc tấn công thực tế. Mặc dù vậy, các chi tiết kỹ thuật của lỗ hổng đã được nhà nghiên cứu bảo mật Maxime Rinaudo chia sẻ vào tháng 6 năm 2025, ngay sau khi nó được vá trong phiên bản 0.9.8.1205 sau khi tiết lộ có trách nhiệm vào ngày 13 tháng 5.
"Nó cho phép một kẻ tấn công từ xa, người biết tên người dùng hợp lệ trên một phiên bản CWP, thực thi các lệnh tùy ý đã được xác thực trước trên máy chủ," Rinaudo cho biết.
Trước tình hình khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản sửa lỗi cần thiết trước ngày 25 tháng 11 năm 2025 để bảo mật mạng của họ.
Việc bổ sung hai lỗ hổng này vào danh mục KEV diễn ra sau các báo cáo từ Wordfence về việc khai thác các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến ba plugin và theme của WordPress:
- CVE-2025-11533 (CVSS score: 9.8) - Một lỗ hổng privilege escalation trong WP Freeio cho phép kẻ tấn công không xác thực có thể tự cấp cho mình các quyền quản trị bằng cách chỉ định vai trò người dùng trong quá trình đăng ký.
- CVE-2025-5397 (CVSS score: 9.8) - Một lỗ hổng authentication bypass trong Noo JobMonster cho phép kẻ tấn công không xác thực bỏ qua xác thực tiêu chuẩn và truy cập các tài khoản người dùng quản trị, với giả định tính năng social login được bật trên trang web.
- CVE-2025-11833 (CVSS score: 9.8) - Việc thiếu kiểm tra ủy quyền trong Post SMTP cho phép kẻ tấn công không xác thực xem nhật ký email, bao gồm email đặt lại mật khẩu và thay đổi mật khẩu của bất kỳ người dùng nào, kể cả quản trị viên, dẫn đến việc chiếm quyền kiểm soát trang web.
Người dùng các trang WordPress dựa vào các plugin và theme đã nói ở trên được khuyến nghị cập nhật chúng lên phiên bản mới nhất càng sớm càng tốt, sử dụng mật khẩu mạnh và kiểm tra các trang web để tìm dấu hiệu malware hoặc sự hiện diện của các tài khoản không mong muốn.
