Các tác nhân đe dọa đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến theme Service Finder WordPress, cho phép truy cập trái phép vào bất kỳ tài khoản nào, kể cả quản trị viên, và kiểm soát các trang web dễ bị tấn công.
Lỗ hổng bỏ qua xác thực này, được theo dõi là CVE-2025-5947 (điểm CVSS: 9.8), ảnh hưởng đến Service Finder Bookings, một plugin WordPress được tích hợp sẵn với theme Service Finder. Lỗ hổng này được phát hiện bởi một nhà nghiên cứu có biệt danh Foxyyy.
Wordfence researcher István Márton cho biết: "Lỗ hổng này cho phép một attacker chưa được xác thực có thể truy cập vào bất kỳ tài khoản nào trên một trang web, bao gồm cả tài khoản có vai trò 'administrator'."
Về cơ bản, vấn đề là một trường hợp privilege escalation (leo thang đặc quyền) xuất phát từ việc bỏ qua xác thực do plugin không xác thực đầy đủ giá trị cookie của người dùng trước khi đăng nhập họ thông qua chức năng chuyển đổi tài khoản (service_finder_switch_back()).
Do đó, một attacker chưa được xác thực có thể lợi dụng hành vi này để đăng nhập vào trang web với tư cách bất kỳ người dùng nào, bao gồm cả quản trị viên, từ đó chiếm quyền kiểm soát trang web và sử dụng nó cho các mục đích bất chính, chẳng hạn như chèn mã độc để chuyển hướng người dùng đến các trang web giả mạo hoặc dùng để lưu trữ malware.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của theme trước và bao gồm 6.0. Nó đã được các nhà phát triển plugin khắc phục vào ngày 17 tháng 7 năm 2025, với việc phát hành phiên bản 6.1. Theo dữ liệu từ Envato Market, theme này đã được bán cho hơn 6.100 khách hàng.
Công ty bảo mật WordPress cho biết họ đã quan sát thấy hoạt động exploitation (khai thác) nhắm mục tiêu vào CVE-2025-5947 kể từ ngày 1 tháng 8 năm 2025, với hơn 13.800 nỗ lực đã được phát hiện cho đến nay. Tuy nhiên, tỷ lệ thành công của các nỗ lực này hiện vẫn chưa rõ ràng.
Các địa chỉ IP sau đây đã được quan sát thấy nhắm mục tiêu vào chức năng chuyển đổi tài khoản của plugin Service Finder Bookings:
- 5.189.221.98
- 185.109.21.157
- 192.121.16.196
- 194.68.32.71
- 178.125.204.198
Các quản trị viên được khuyến nghị kiểm tra trang web của họ để tìm bất kỳ dấu hiệu hoạt động đáng ngờ nào và đảm bảo tất cả các plugin và theme đang chạy phiên bản mới nhất.
