vulnerability

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến- WP Ghost. Với hơn 200.000 lượt cài đặt đang hoạt động, WP Ghost là một plugin bảo mật và tường lửa miễn phí cho trang web WordPress bằng cách bổ sung “nhiều lớp bảo vệ để chặn bot và ngăn chặn truy cập trái...

Cyberghost VPN - một nhà cung cấp giải pháp mạng VPN (mạng riêng ảo) phổ biến - đã phát hành bản vá cho lỗ hổng chèn lệnh có thể cho phép tin tặc xâm phạm hệ thống của người dùng Windows. Lỗ hổng được cấp mã định danh là CVE-2023-30237. Nhiều nhà cung cấp VPN, bao gồm CyberGhost, sử dụng các...

Một lỗ hổng nghiêm trọng vừa được phát hiện trong thư viện mã nguồn mở jsonwebtoken (JWT). Việc khai thác thành công có thể dẫn đến thực thi mã từ xa trên máy chủ đích. Có mã theo dõi CVE-2022-23529 (điểm CVSS: 7,6), lỗ hổng ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên...

Một nhà nghiên cứu an ninh mạng vừa phát hiện lỗ hổng nghiêm trọng trên Control Web Panel (CWP), cho phép hacker tấn công máy chủ từ xa. Lỗ hổng có mã theo dõi CVE-2022-44877, xuất phát từ lỗi trong thành phần /login/index.php của Centos Web Panel 7. Control Web Panel, trước đây là CentOS...

Các nhà nghiên cứu vừa phát hiện một số lỗ hổng trong trình quản lý mật khẩu doanh nghiệp Passwordstate do công ty Click Studios của Úc sản xuất. Trong số này, có lỗ hổng nghiêm trọng cho phép hacker không xác thực lấy được mật khẩu của người dùng. Các vấn đề an ninh đã được vá vào đầu tháng...

Các nhà phát triển vừa được cảnh báo về việc framework phổ biến Quarkus bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể dẫn đến thực thi mã từ xa. Xuất hiện từ năm 2019, Quarkus là một framework Java Kubernetes-native mã nguồn mở được thiết kế cho các máy ảo GraalVM và HotSpot. Có mã theo...

Sau khi bị khóa sim, David Schütz vô tình phát hiện việc đổi sim có thể khiến điện thoại Google không hỏi mật khẩu mở khóa máy. David Schütz cho biết anh đã báo cáo cho Google từ tháng 6, nhưng chỉ vừa được khắc phục hôm 7/11. Anh Schütz khuyến nghị người dùng Android nên cập nhật bản vá mới...

Halloween vừa rồi bạn đã hóa trang thành gì? Phù thủy, bí ngô hay ác quỷ Dracula? Với Fortinet, có lẽ hình tượng phù hợp nhất trong mùa lễ hội ma quỷ năm nay là “dép tổ ong”, bởi điểm chung sản phẩm của hãng với dép tổ ong là: Rất nhiều “lỗ”! Ngay đầu tháng 10, Fortinet lên tiếng cảnh báo...

Hai lỗ hổng trong Atlassian Jira Align, một công cụ SaaS lập kế hoạch linh hoạt, cho phép user nâng quyền lên quản trị viên ứng dụng, từ đó tấn công dịch vụ Atlassian. Theo công ty dịch vụ an ninh mạng Bishop Fox, các lỗ hổng điển hình cho các rủi ro đối với các dịch vụ đám mây bởi chúng khá...

Công ty an ninh mạng WordPress Wordfence cho biết họ bắt đầu phát hiện các nỗ lực khai thác nhắm vào lỗ hổng mới được tiết lộ trong Apache Commons Text. Lỗ hổng có mã theo dõi CVE-2022-42889, còn được gọi tên là Text4Shell, được xếp hạng mức độ nghiêm trọng 9,8/10 thang điểm CVSS và ảnh hưởng...

WhatsApp vừa vá hai lỗ hổng nghiêm trọng có thể bị khai thác để thực thi mã từ xa. Tính từ đầu năm 2022, WhatsApp mới chỉ phát hành ba thông báo an ninh, hai vấn đề đầu tiên đưa ra hồi tháng 1 và 2. Cảnh báo thứ 3 vừa được phát hành, thông tin tới khách hàng hai vấn đề liên quan đến bộ nhớ ảnh...

Sophos hôm nay cảnh báo về lỗ hổng an ninh nghiêm trọng trong sản phẩm Firewall của hãng đang bị khai thác trong thực tế. "Sophos giám sát thấy lỗ hổng này được sử dụng để nhắm mục tiêu vào một nhóm nhỏ các tổ chức cụ thể, chủ yếu ở khu vực Nam Á", nhà cung cấp phần mềm và phần cứng an ninh...

Gần đây, Google đã phát hành Chrome 105 để vá 24 lỗ hổng, bao gồm 13 lỗi use-after-free và lỗi tràn bộ đệm heap. Trong số 21 lỗ hổng được báo cáo bởi các nhà nghiên cứu bên ngoài công ty, có 1 lỗ hổng rất cao, 8 lỗ hổng cao, 9 lỗi trung bình và 3 lỗ hổng mức độ thấp. Có 9 lỗi use-after-free...

Cập nhật ngày 21/09/2022: Đã có PoC cho lỗ hổng thực thi mã từ xa (CVE-2022-36804) trên BitBucket Theo Shodan, có khoảng 1.400 máy chủ sử dụng Internet, nhưng không rõ bao nhiêu máy chủ có kho lưu trữ công khai. Đến nay, chưa có báo cáo về việc lỗ hổng đang bị khai thác, tuy nhiên đã có nhiều...

Adobe vừa phát hành bản vá cho hơn 25 lỗ hổng an ninh ảnh hưởng đến các sản phẩm của hãng dành cho hệ điều hành Windows và macOS. Lỗi nghiêm trọng nhất ảnh hưởng đến phần mềm Adobe Acrobat và Reader được sử dụng để tạo, xem và quản lý tệp PDF trên các nền tảng. Adobe cho biết: "Nhiều lỗ hổng...

Một tuần sau khi Atlassian tung ra bản vá cho lỗ hổng nghiêm trọng trong ứng dụng Question For Confluence dành cho Confluence Server và Confluence Data Center, lỗ hổng hiện đã bị khai thác trên diện rộng. Lỗ hổng được đề cập có CVE-2022-26138, liên quan đến password được hardcode trong ứng...

Lỗ hổng liên quan đến việc thực thi tiêu chuẩn ONVIF (Open Network Video Interface Forum) của Dahua, nếu bị khai thác, có thể dẫn đến việc chiếm quyền kiểm soát các camera IP. Lỗ hổng được gán mã CVE-2022-30563 (điểm CVSS: 7.4), tồn tại trong sản phẩm camera IP của Dahua. "Lỗ hổng có thể bị kẻ...

Cisco vừa phát hành các bản vá cho nhiều lỗ hổng trong Nexus Dashboard, bao gồm một lỗi nghiêm trọng có thể dẫn đến thực thi các lệnh tùy ý. Nexus Dashboard là bảng điều khiển quản lý trung tâm dữ liệu, cung cấp cho quản trị viên và người điều hành hệ thống quyền truy cập nhanh vào các tài...

Apple vừa phát hành các bản sửa lỗi phần mềm cho iOS, iPadOS, macOS, tvOS và watchOS, giải quyết một số lỗ hổng an ninh ảnh hưởng đến các sản phẩm của hãng. Hãng vá 37 lỗ hổng tồn tại trong các thành phần khác nhau của iOS và macOS, từ leo thang đặc quyền đến thực thi mã tùy ý và từ tiết lộ...

OpenSSL vừa phát hành bản vá cho lỗ hổng nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định. Lỗ hổng CVE-2022-2274, được mô tả là lỗi bộ nhớ heap với thao tác khóa riêng RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành...