Lỗi kiểm soát truy cập trong Royal Elementor Addons//Xuất bản vào 2026-05-04//CVE-2026-4024

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Royal Elementor Addons CVE-2026-4024

Tên plugin Royal Elementor Addons
Loại lỗ hổng Kiểm soát truy cập bị hỏng
Số CVE CVE-2026-4024
Tính cấp bách Thấp
Ngày xuất bản CVE 2026-05-04
URL nguồn CVE-2026-4024

Lỗi Kiểm Soát Truy Cập Bị Hỏng trong Royal Elementor Addons (CVE-2026-4024) — Những gì các trang WordPress cần biết và làm ngay bây giờ

Ngày: 2026-05-05
Tác giả: Nhóm bảo mật WP-Firewall
Thẻ: wordpress, bảo mật, wpsites, wpfirewall, lỗ hổng, royal-elementor-addons

Bản tóm tắt: Một lỗ hổng Kiểm Soát Truy Cập Bị Hỏng (CVE-2026-4024) đã được công bố cho plugin WordPress “Royal Addons for Elementor – Bộ Addons và Mẫu cho Elementor” (các phiên bản <= 1.7.1056). Vấn đề cho phép các yêu cầu không xác thực thực hiện một sửa đổi meta hành động biểu mẫu do thiếu kiểm tra ủy quyền. Nhà cung cấp đã khắc phục vấn đề trong phiên bản 1.7.1057. Bài viết này giải thích về rủi ro, cách mà kẻ tấn công có thể lạm dụng nó, các bước phát hiện và giảm thiểu thực tế (ngay lập tức và lâu dài), và cách WAF được quản lý và vá ảo có thể giúp bảo vệ các trang không thể được cập nhật ngay lập tức.


Tại sao điều này quan trọng (phiên bản ngắn)

Nếu trang của bạn sử dụng plugin Royal Addons for Elementor và chưa được cập nhật lên 1.7.1057 hoặc phiên bản mới hơn, kẻ tấn công có thể khai thác một kiểm soát truy cập bị hỏng (thiếu kiểm tra ủy quyền/nonce) để gửi các yêu cầu biểu mẫu không xác thực mà sửa đổi meta bài viết/plugin. Mặc dù điểm số CVSS được báo cáo là trung bình (5.3) và nhà cung cấp đã phát hành một bản vá nhanh chóng, lỗ hổng này không cần xác thực — có nghĩa là kẻ tấn công không cần thông tin xác thực người dùng hợp lệ để tương tác với điểm cuối bị tổn thương — điều này làm cho việc khai thác hàng loạt trở nên khả thi.

Chúng tôi khuyến nghị ưu tiên bản vá của nhà cung cấp trước. Nếu bạn không thể cập nhật ngay lập tức, hãy áp dụng các biện pháp giảm thiểu tạm thời được mô tả dưới đây (vô hiệu hóa plugin, hạn chế truy cập, hoặc áp dụng quy tắc WAF/vá ảo).


Lỗ hổng là gì (tiếng Anh đơn giản)

  • Phân loại: Kiểm Soát Truy Cập Bị Hỏng (lớp OWASP A1).
  • Plugin Bị Ảnh Hưởng: Royal Addons for Elementor — Bộ Addons và Mẫu cho Elementor.
  • Các Phiên Bản Bị Tổn Thương: <= 1.7.1056
  • Phiên Bản Đã Vá: 1.7.1057
  • CVE: CVE-2026-4024 (đã công bố)
  • Quyền Cần Thiết: Không — các yêu cầu không xác thực có thể nhắm đến chức năng bị tổn thương.

Nguyên nhân gốc rễ: một điểm cuối/chức năng phía máy chủ xử lý một hành động biểu mẫu hoặc POST kiểu AJAX không xác minh rằng người gọi được ủy quyền (không có kiểm tra khả năng thích hợp, xác minh nonce hoặc xác thực người dùng). Sự thiếu sót đó cho phép bất kỳ ai tạo ra một yêu cầu POST đến điểm cuối đó và kích hoạt hành vi mà lẽ ra chỉ nên giới hạn cho người dùng đã xác thực/có quyền — trong trường hợp này, sửa đổi siêu dữ liệu liên quan đến bài viết hoặc cấu hình plugin.

Các vấn đề kiểm soát truy cập bị hỏng thường tinh vi nhưng nguy hiểm vì chúng vượt qua các người gác cổng mong đợi. Ngay cả khi tác động ngay lập tức có vẻ hạn chế (ví dụ: chỉ thay đổi siêu dữ liệu), một chuỗi hành động có thể tạo ra những vấn đề lớn hơn: chèn spam SEO, đặt redirect/backdoor, hoặc chuẩn bị các hook cho việc leo thang tiếp theo.


Cách mà kẻ tấn công có thể lạm dụng điều này

Kẻ tấn công thường theo dõi các sách hướng dẫn đơn giản cho các vấn đề truy cập không xác thực:

  • Quét hàng loạt: Các công cụ quét tự động quét các trang WordPress để tìm sự hiện diện của plugin và phiên bản bị tổn thương.
  • Yêu cầu thăm dò: Gửi các POST được tạo ra đến điểm cuối của plugin để xác nhận lỗ hổng (ví dụ: phát hiện phản hồi thành công có thể dự đoán).
  • Tiêm tải: Nếu điểm cuối sửa đổi postmeta hoặc cài đặt, kẻ tấn công chèn các giá trị mà:
    • Thêm các liên kết hoặc trình theo dõi ẩn (spam SEO).
    • Thay đổi hành động biểu mẫu để lấy dữ liệu.
    • Kích hoạt các tính năng hỗ trợ cho việc duy trì hoặc nâng cao quyền hạn sau này.
  • Dọn dẹp tránh bị phát hiện: Điều chỉnh meta plugin để tránh bị phát hiện ngay lập tức (sử dụng tên trường vô hại hoặc thay đổi ngắn hạn).
  • Kết hợp với các lỗ hổng khác: Nếu các plugin hoặc chủ đề khác cho phép XSS lưu trữ hoặc nâng cao quyền hạn, các thay đổi metadata có thể là điểm xoay.

Ngay cả khi lỗ hổng này không thể trực tiếp tạo tài khoản quản trị, các thay đổi metadata rất mạnh mẽ đối với những kẻ tấn công quan tâm đến lạm dụng SEO, mạng chuyển hướng, hoặc chuẩn bị một trang cho việc xâm nhập sau này.


Các bước ngay lập tức bạn nên thực hiện (0–24 giờ)

  1. Cập nhật plugin (sửa lỗi tốt nhất và nhanh nhất)

    • Cập nhật Royal Addons cho Elementor lên phiên bản 1.7.1057 hoặc mới hơn ngay lập tức. Đó là bản sửa lỗi hoàn chỉnh duy nhất.
    • Nếu bạn quản lý nhiều trang, hãy ưu tiên các trang có lưu lượng truy cập cao và trang của khách hàng trước. Lên lịch cập nhật theo khối.
  2. Nếu bạn không thể cập nhật ngay lập tức: thực hiện một trong các bước tạm thời sau

    • Vô hiệu hóa plugin cho đến khi bạn có thể cập nhật. Điều này loại bỏ điểm cuối dễ bị tổn thương.
    • Giới hạn quyền truy cập vào các tệp plugin hoặc điểm cuối quản trị plugin (xem “Tùy chọn chặn tạm thời” bên dưới).
    • Triển khai quy tắc WAF / vá ảo để chặn các POST không xác thực đến các điểm cuối của plugin hoặc các yêu cầu thiếu WordPress nonces/cookies.
    • Giám sát nhật ký cho các yêu cầu POST đáng ngờ đến các đường dẫn plugin và các thay đổi postmeta bất thường.
  3. Quét để tìm các chỉ số của sự xâm phạm (IOC)

    • Tìm kiếm các mục postmeta không mong đợi, chuyển hướng mới, liên kết ra ngoài spam hoặc các thay đổi nội dung không mong đợi.
    • Kiểm tra nhật ký truy cập cho các yêu cầu POST/GET đến các tệp plugin và các tác nhân người dùng hoặc mẫu IP nguồn bất thường.
    • Chạy quét phần mềm độc hại toàn bộ trang và kiểm tra tính toàn vẹn (băm tệp, tệp PHP đáng ngờ).
  4. Nếu bạn phát hiện các thay đổi không được ủy quyền:

    • Khôi phục các thay đổi metadata từ các bản sao lưu nếu có thể.
    • Thay thế các tệp đáng ngờ từ một bản sao lưu đã biết là tốt.
    • Thay đổi bất kỳ thông tin xác thực hoặc khóa API nào có thể đã bị lộ gián tiếp.
    • Xem xét việc khôi phục từ một bản sao lưu sạch nếu việc khắc phục yêu cầu điều đó.

Cách phát hiện khai thác và những gì cần tìm kiếm

Việc phát hiện yêu cầu sự kết hợp giữa kiểm tra nhật ký, kiểm toán cơ sở dữ liệu và kiểm tra nội dung.

  • Nhật ký truy cập
    • Tìm kiếm các yêu cầu POST đến các đường dẫn dưới:
      • /wp-content/plugins/royal-elementor-addons/
    • Cũng tìm kiếm các yêu cầu POST đến các điểm cuối AJAX quản trị (ví dụ: admin-ajax.php) với các tham số nghi ngờ xuất phát từ các IP không xác định.
  • Nhật ký tường lửa ứng dụng web (WAF)
    • Tìm kiếm các yêu cầu bị chặn đến thư mục plugin hoặc các quy tắc phù hợp với các tải trọng POST nghi ngờ.
  • Nhật ký hoạt động WordPress và cơ sở dữ liệu
    • Truy vấn bảng wp_postmeta để tìm các khóa hoặc giá trị không mong đợi đã được sửa đổi xung quanh thời gian có lưu lượng nghi ngờ.
    • So sánh các giá trị postmeta hiện tại với các bản sao lưu lịch sử.
    • Kiểm tra nhật ký tạo người dùng cho các tài khoản mới được thêm vào trong hoặc sau khi có sự thay đổi postmeta nghi ngờ.
  • Các chỉ báo tại chỗ
    • Các liên kết outbound mới, iframe ẩn, chuyển hướng không mong đợi, hoặc các hành động biểu mẫu đã thay đổi trên các trang công khai.
    • Các bài viết mới được xuất bản hoặc thay đổi nội dung mà bạn không thực hiện.

Ví dụ truy vấn SQL (chỉ đọc) để kiểm tra nhanh sự bất thường của postmeta:

SELECT post_id, meta_key, meta_value, meta_id;

Lưu ý: điều chỉnh các bộ lọc meta_key một cách thận trọng. Mục tiêu là tìm các sửa đổi bất thường hoặc gần đây.


Các tùy chọn chặn tạm thời (mức máy chủ web)

Nếu bạn không thể cập nhật ngay lập tức và không muốn vô hiệu hóa plugin, hãy sử dụng các quy tắc máy chủ web để hạn chế quyền truy cập vào mã plugin. Áp dụng một hoặc nhiều biện pháp sau:

  1. Chặn truy cập trực tiếp vào các tệp PHP của plugin (Apache .htaccess)

    # Ngăn chặn truy cập trực tiếp vào các tệp PHP của plugin (áp dụng cho Apache)
    
  2. Ví dụ Nginx: từ chối POST đến các tệp PHP của plugin

    location ~* /wp-content/plugins/royal-elementor-addons/.*\.php$ {
  3. Hạn chế truy cập vào các điểm cuối quản trị của plugin cho người dùng đã đăng nhập và các IP đã biết (nếu trang của bạn có các IP quản trị cố định)

    location /wp-content/plugins/royal-elementor-addons/ {

    Cảnh báo: Chặn GET có thể làm hỏng hành vi hợp lệ của giao diện. Ưu tiên chặn POST hoặc chỉ bảo vệ các điểm cuối quản trị/ajax của plugin.


Ví dụ quy tắc WAF/Virtual patch (chung)

Để giảm thiểu việc sửa đổi hành động biểu mẫu không xác thực, triển khai một quy tắc WAF mà:

  • Chặn các yêu cầu POST đến thư mục plugin hoặc các điểm cuối AJAX không bao gồm cookie xác thực WordPress hợp lệ hoặc mã nonce hợp lệ.
  • Chặn các yêu cầu khớp với các mẫu tải trọng nghi ngờ (mảng tuần tự lớn hoặc mã độc đã biết).

Ví dụ chữ ký giả:

  1. Chặn các POST không xác thực đến thư mục plugin (khớp với sự vắng mặt của cookie WordPress điển hình)

    SecRule REQUEST_METHOD "POST" "chain,phase:2,deny,id:900100,msg:'Chặn POST không xác thực đến plugin Royal Addons - thiếu xác thực',log"
    
  2. Chặn các POST đến AJAX bao gồm các khóa meta nghi ngờ (khớp mẫu, điều chỉnh an toàn)

    SecRule REQUEST_URI "@contains admin-ajax.php" "phase:2,chain,deny,id:900101,msg:'Chặn POST admin-ajax nghi ngờ - có khả năng sửa đổi meta'"
    

Quan trọng: Những ví dụ này là mẫu. Khi triển khai quy tắc trong sản xuất:

  • Kiểm tra ở chế độ chỉ phát hiện trước (ghi lại nhưng không chặn).
  • Xác thực các dương tính giả với hành vi mong đợi.
  • Tránh các chữ ký quá rộng có thể chặn lưu lượng hợp lệ.

Nếu bạn sử dụng WAF được quản lý của chúng tôi, chúng tôi có thể áp dụng các bản vá ảo được điều chỉnh để trung hòa lỗ hổng mà không làm gián đoạn chức năng của trang web.


Danh sách kiểm tra sau sự cố (cần làm gì nếu bạn bị khai thác)

  1. Bao gồm
    • Cách ly trang web bị ảnh hưởng (chế độ bảo trì hoặc hạn chế truy cập công khai) trong khi bạn điều tra.
  2. Diệt trừ
    • Xóa các thay đổi độc hại đối với postmeta hoặc cài đặt plugin.
    • Thay thế các tệp plugin/theme/core đã chỉnh sửa bằng các bản sao sạch từ các nguồn chính thức.
    • Xóa người dùng không xác định và vô hiệu hóa các tài khoản quản trị đáng ngờ.
  3. Khôi phục
    • Khôi phục nội dung từ một bản sao lưu sạch được tạo trước khi bị xâm phạm.
    • Áp dụng lại bất kỳ nội dung hoặc tùy chỉnh hợp lệ nào một cách cẩn thận.
  4. Xem xét & củng cố
    • Thay đổi thông tin đăng nhập quản trị trang web và bảng điều khiển hosting.
    • Thay đổi khóa API và thông tin đăng nhập của bên thứ ba.
    • Áp dụng mật khẩu mạnh và xác thực hai yếu tố cho người dùng quản trị.
    • Bật nguyên tắc quyền hạn tối thiểu cho tất cả các tài khoản.
  5. Màn hình
    • Tăng cường thời gian lưu trữ nhật ký và giám sát hoạt động (cảnh báo WAF, giám sát tính toàn vẹn tệp).
    • Quét các tác vụ theo lịch trình hoặc cron jobs có thể đã được thêm vào.
    • Kiểm tra các kết nối ra ngoài từ máy chủ.
  6. Báo cáo & học hỏi
    • Ghi lại thời gian sự cố và các bước khắc phục.
    • Áp dụng bài học đã học vào quản lý bản vá và quy trình bảo mật.

Các biện pháp giảm thiểu lâu dài và thực tiễn tốt nhất

  1. Giữ mọi thứ được cập nhật

    • Áp dụng các bản cập nhật core, theme và plugin kịp thời. Các lỗ hổng được sửa trong các bản cập nhật; việc vá lỗi kịp thời giảm thiểu rủi ro.
  2. Sử dụng một lớp phòng thủ

    • Kết hợp cấu hình an toàn, quyền hạn tối thiểu, WAF/bản vá ảo, giám sát tính toàn vẹn tệp và quét phần mềm độc hại thường xuyên.
  3. Giám sát tính toàn vẹn và các thay đổi

    • Thường xuyên kiểm tra các bảng wp_postmeta, wp_options và wp_posts để phát hiện các thay đổi bất ngờ.
    • Triển khai kiểm tra tính toàn vẹn của tệp để cảnh báo về các tệp PHP mới hoặc các tệp đã được sửa đổi.
  4. Tăng cường quyền truy cập quản trị và plugin

    • Giới hạn wp-admin chỉ cho các IP đáng tin cậy khi có thể.
    • Sử dụng nonces và kiểm tra khả năng ở cấp độ ứng dụng cho mã tùy chỉnh.
    • Tránh chạy nhiều plugin không cần thiết. Mỗi plugin đều làm tăng bề mặt tấn công.
  5. Phát triển có ý thức về bảo mật

    • Khi bạn viết các plugin tùy chỉnh, luôn kiểm tra khả năng, xác thực yêu cầu và xác minh nonces cho các trình xử lý form/AJAX.
    • Sử dụng truy vấn cơ sở dữ liệu có tham số và thoát/giải nén đúng cách đầu vào do người dùng kiểm soát.
  6. Lập kế hoạch cho việc phục hồi

    • Duy trì các bản sao lưu đã được kiểm tra và một kế hoạch phản ứng sự cố.
    • Thường xuyên kiểm tra quy trình khôi phục để việc phục hồi diễn ra nhanh chóng khi cần thiết.

Cách mà WAF được quản lý + bản vá ảo giúp bạn ngay bây giờ

Là một nhà cung cấp tường lửa và bảo mật WordPress, chúng tôi nhận thấy rằng khi một lỗ hổng như thế này được công khai, sẽ có một khoảng thời gian ngắn mà các trình quét tự động và bot sẽ quét hàng loạt các trang web. Đối với các trang web không thể cập nhật ngay lập tức, chúng tôi khuyên:

  • Bản vá ảo: chúng tôi tạo một quy tắc WAF tạm thời chặn lưu lượng khai thác nhắm vào các điểm cuối dễ bị tổn thương mà không thay đổi mã trang web. Điều này giúp bạn có thời gian để kiểm tra và áp dụng bản vá của nhà cung cấp.
  • Quét và dọn dẹp phần mềm độc hại: nếu có dấu hiệu bị xâm phạm xuất hiện, việc xóa tự động và dọn dẹp sẽ giảm thời gian phân loại thủ công.
  • Theo dõi liên tục: theo dõi các nỗ lực khai thác và hành vi đáng ngờ, sau đó nâng cao và thông báo cho chủ sở hữu trang web theo thời gian thực.

Bản vá ảo là một biện pháp giảm thiểu hoạt động — nó ngăn chặn việc khai thác ở lớp HTTP. Nó không thay thế việc áp dụng các bản sửa lỗi của nhà cung cấp (cái mà loại bỏ lỗi từ nguồn), nhưng thường là cách nhanh nhất để ngăn chặn việc khai thác đang diễn ra trên nhiều trang web cùng một lúc.


Các ví dụ thực tiễn về những gì cần tìm trong môi trường của bạn

  • Các hàng mới đột ngột trong wp_postmeta với các khóa lạ hoặc giá trị đã được tuần tự hóa bao gồm các URL mà bạn không nhận ra.
  • Các thay đổi gần đây trong wp_options làm thay đổi URL trang web, hành động form mặc định hoặc cài đặt chuyển hướng.
  • Các yêu cầu POST trong nhật ký truy cập máy chủ đến các tệp PHP plugin với các loại nội dung bất thường (ví dụ: payload application/x-www-form-urlencoded chứa các mảng đã tuần tự hóa).
  • Tăng đột biến trong các yêu cầu từ các IP duy nhất đến các thư mục plugin ngay sau ngày công bố lỗ hổng.

Nếu bạn thấy bất kỳ điều gì ở trên, hãy điều tra, và nếu bạn cần hỗ trợ, chúng tôi khuyên bạn nên cách ly trang web và khởi động quy trình khắc phục.


Các câu hỏi chúng tôi nhận được từ các chủ sở hữu trang web

H: Lỗ hổng này có nguy cơ cao đối với các trang nhỏ không?
Đ: Lỗ hổng này không yêu cầu xác thực, điều này làm tăng khả năng tiếp xúc, nhưng tác động phụ thuộc vào metadata mà điểm cuối sửa đổi. Đối với các trang web doanh nghiệp nhỏ, mục tiêu tấn công có khả năng nhất là spam SEO hoặc chuyển hướng; cả hai đều có thể gây hại cho danh tiếng và lưu lượng truy cập tự nhiên. Đối với các trang có giá trị cao, vector có thể được sử dụng trong một cuộc tấn công nhiều bước. Hãy coi việc kiểm soát truy cập bị hỏng không yêu cầu xác thực là khẩn cấp.

Hỏi: Việc vô hiệu hóa plugin có làm hỏng trang của tôi không?
Đ: Nó phụ thuộc vào mức độ tích hợp của plugin. Nếu plugin chỉ cung cấp các widget hoặc mẫu tùy chọn, việc vô hiệu hóa thường là an toàn cho đến khi bạn có thể vá lỗi. Nếu plugin cung cấp chức năng bố cục frontend quan trọng, hãy chuẩn bị một khoảng thời gian bảo trì và kiểm tra trước khi vô hiệu hóa.

H: Tôi có thể chỉ chặn thư mục /wp-content/plugins/… không?
Đ: Chặn toàn bộ thư mục có thể làm hỏng việc tải tài sản (CSS/JS) hoặc các cuộc gọi AJAX hợp lệ. Ưu tiên các quy tắc nhắm mục tiêu chặn các yêu cầu POST hoặc các điểm cuối quản trị cụ thể, hoặc sử dụng WAF có thể chọn lọc chặn các mẫu khai thác trong khi cho phép lưu lượng an toàn.


Danh sách kiểm tra nhanh các khuyến nghị (để tiết kiệm thời gian)

  • ✅ Cập nhật Royal Addons cho Elementor lên 1.7.1057 hoặc phiên bản mới hơn (ưu tiên cao nhất).
  • ✅ Nếu bạn không thể cập nhật ngay lập tức, hãy vô hiệu hóa plugin hoặc áp dụng các hạn chế truy cập tạm thời.
  • ✅ Triển khai một quy tắc WAF chặn các yêu cầu POST không xác thực đến các điểm cuối plugin (kiểm tra trước).
  • ✅ Quét các thay đổi postmeta, option và file; hoàn nguyên các thay đổi không được ủy quyền.
  • ✅ Thay đổi thông tin xác thực và kiểm tra các tác vụ đã lên lịch.
  • ✅ Triển khai giám sát liên tục và quét tính toàn vẹn định kỳ.

Bảo vệ trang web của bạn ngay lập tức — Tham gia Kế hoạch Miễn phí của chúng tôi hôm nay

Bắt đầu với kế hoạch Cơ bản miễn phí để nhận được sự bảo vệ thiết yếu cho các trang WordPress của bạn: tường lửa quản lý, băng thông không giới hạn, WAF, quét malware và giảm thiểu các rủi ro OWASP Top 10. Nếu bạn đang quản lý nhiều trang hoặc cần loại bỏ malware tự động và các điều khiển chi tiết hơn, hãy xem xét các kế hoạch trả phí của chúng tôi sau — nhưng kế hoạch miễn phí là cách nhanh chóng để giảm rủi ro ngay bây giờ.

Đăng ký WP-Firewall Basic (Miễn phí)


Ghi chú kết thúc từ Nhóm Bảo mật WP-Firewall

Chúng tôi hiểu rằng các lỗ hổng plugin là một phần của hệ sinh thái WordPress — không có nền tảng nào miễn dịch. Chìa khóa để phục hồi là phát hiện nhanh, vá lỗi nhanh chóng và các biện pháp giảm thiểu thực tế khi việc vá lỗi ngay lập tức không khả thi. Nếu bạn chịu trách nhiệm cho nhiều trang hoặc môi trường của khách hàng, một quy trình vá lỗi và giám sát tự động kết hợp với vá lỗi ảo và các chính sách WAF chủ động sẽ giảm đáng kể thời gian tiếp xúc của bạn.

Nếu bạn cần giúp đỡ trong việc phân loại vấn đề này trên nhiều trang web, triển khai các bản vá ảo, hoặc tiến hành xem xét pháp y sau khi có nghi ngờ về các nỗ lực khai thác, hãy liên hệ với đội ngũ của chúng tôi — chúng tôi cung cấp dịch vụ quản lý và phản ứng sự cố được tùy chỉnh cho môi trường WordPress.

Hãy giữ an toàn, cập nhật các plugin của bạn, và theo dõi các thay đổi postmeta hoặc cấu hình bất thường sau khi có thông báo bảo mật.

— Đội ngũ Bảo mật WP-Firewall


Tài liệu tham khảo và nguồn lực

  • Thông báo bảo mật của nhà cung cấp (kiểm tra nhật ký thay đổi chính thức của plugin và kênh hỗ trợ để biết thông tin phát hành).
  • CVE-2026-4024 — mã định danh lỗ hổng để tham khảo trong các hệ thống theo dõi và ticket.
  • Hướng dẫn tăng cường bảo mật WordPress tiêu chuẩn (cho các thực tiễn tốt nhất về cấu hình và kiểm soát truy cập).

Lưu ý: Bài viết này cố tình tránh tiết lộ các tải trọng khai thác. Mục tiêu của chúng tôi là trang bị cho các quản trị viên và nhà phát triển kiến thức để xác định, giảm thiểu và khắc phục vấn đề một cách an toàn mà không cho phép lạm dụng.


wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay
!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.