wordpress

Những kẻ tấn công đang tích cực khai thác lỗ hổng được vá gần đây trong plugin Elementor Pro dành cho WordPress được sử dụng trên hơn 12 triệu trang web. Lỗ hổng được xác định là broken access control, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được vá trong phiên bản 3.11.7 phát...

WordPress vừa phát hành bản vá cho một lỗ hổng nghiêm trọng trong plugin thanh toán của WooCommerce (một plugin thanh toán trực tuyến miễn phí và phổ biến trên nền tảng WordPress), được cài đặt trên hơn 500.000 trang web. Lỗ hổng hiện tại chưa có mã định danh CVE, điểm CVSS 9.8 (theo Wordfence...

Tháng Giêng khi hoa đào bừng nở đón xuân, cũng là lúc người dùng WordPress – nền tảng quản trị nội dung mã nguồn mở, đón nhận những thông tin “to nhỏ” về nguy cơ bị khai thác các lỗ hổng trên nền tảng này. WordPress đã tung ra các bản sửa lỗi kịp thời, bởi vậy người dùng cần chú ý cập nhật cho...

Ba plugin WordPress phổ biến (hàng chục nghìn lượt cài đặt) tồn tại các lỗ hổng SQL injection nghiêm trọng. Hiện đã xuất hiện PoC của các lỗ hổng. Nhà nghiên cứu an ninh mạng Joshua Martinelle của Tenable đã phát hiện ra ba plugin tồn tại lỗ hổng này, và báo cáo kèm PoC cho WordPress vào ngày 19...

Các trang web WordPress đang bị nhắm mục tiêu bởi một dòng phần mềm độc hại Linux chưa từng được biết đến trước đây. Phần mềm này khai thác các lỗ hổng trong hơn hai chục plugin để xâm phạm các hệ thống. "Nếu sử dụng các phiên bản add-on cũ, thiếu các bản sửa lỗi quan trọng, các trang web sẽ có...

Một chiến dịch phát tán mã độc đã kiểm soát hơn 15,000 trang WordPress nhằm chuyển hướng khách truy cập đến các trang Q&A không có thật. "Sự chuyển hướng có chủ đích là để tăng "quyền (authority)" cho các trang web của kẻ tấn công đối với các công cụ tìm kiếm", nhà nghiên cứu Ben Martin của...

Một lỗ hổng zero-day trong plugin BackupBuddy của WordPress đang bị tin tặc khai thác tích cực. BackupBuddy cho phép người dùng sao lưu toàn bộ cài đặt WordPress của họ từ bảng điều khiển, bao gồm các tập tin chủ đề, trang, bài đăng, widget, người dùng và tập tin phương tiện… Ước tính có...

Nhóm WordPress trong tuần này đã phát hành phiên bản 6.0.2, với các bản vá cho 3 lỗ hổng an ninh, bao gồm một lỗi SQL injection nghiêm trọng. Được xác định trong chức năng Link của WordPress, trước đây được gọi là 'Bookmarks', lỗ hổng chỉ ảnh hưởng đến các phiên bản WordPress cũ, vì tính năng...

Các nhà nghiên cứu tại Viện Công nghệ Georgia phát hiện rất nhiều các plugin độc hại trên hàng chục nghìn trang web WordPress. Dựa trên phân tích các bản sao lưu hàng ngày của hơn 400.000 máy chủ web, nhà nghiên cứu tìm thấy hơn 47.000 plugin độc hại được cài đặt trên gần 25.000 trang web...

Các trang web tạo trên nền tảng WordPress sử dụng plugin Ninja Forms gần đây đã được cập nhật tự động để vá lỗ hổng nghiêm trọng. Lỗ hổng được cho là đã bị khai thác trong thực tế. Lỗ hổng, một khi bị khai thác thành công có thể chèn mã (code injection), được xếp hạng 9,8 trên 10 về mức độ...

Một lỗ hổng leo thang đặc quyền nghiêm trọng tồn tại trong hai chủ đề Jupiter và JupiterX Premium ảnh hưởng đến hơn 90.000 trang WordPress, cho phép hacker kiểm soát hoàn toàn trang web. Được phát hiện bởi nhà nghiên cứu Ramuel Gall của WordFence Threat Intelligence Team, lỗ hổng nằm trong...

Hàng chục nghìn trang web WordPress đang có nguy cơ bị tấn công quy mô lớn qua lỗ hổng thực thi mã từ xa trong plugin Tatsu Builder. Lỗ hổng CVE-2021-25094 (điểm CVSS là 8,1) tồn tại do có thể sử dụng hành động add_custom_font mà không cần xác thực khi tải lên một file zip giả mạo được giải nén...

Các nhà nghiên cứu an ninh mạng từ Sucuri đã phát hiện ra một chiến dịch tấn công quy mô lớn nhắm mục tiêu vào các trang web WordPress để chèn mã JavaScript độc hại nhằm chuyển hướng khách truy cập đến nội dung lừa đảo. Khi một trang web bị xâm nhập và chèn mã độc, khách truy cập sẽ tự động...

Nhóm phát triển của plugin Elementor Website Builder cho WordPress vừa phát hành phiên bản 3.6.3 để giải quyết một lỗ hổng thực thi mã từ xa nghiêm trọng có thể ảnh hưởng đến 500.000 trang web. Mặc dù việc khai thác lỗ hổng yêu cầu xác thực, nhưng mức độ nghiêm trọng của nó bắt nguồn từ việc...

Bức tranh an ninh mạng tháng 2 nổi bật với điểm nhấn là hàng loạt lỗ hổng trong hai nền tảng phát triển thương mại điện tử mã nguồn mở phổ biến WordPress và Magento. Đây không phải tháng đầu tiên hai framework open-source dính lỗi nhưng các lỗ hổng tháng này đều ở mức cực kỳ nghiêm trọng (điểm...

Gần đây, WordPress 5.8.3 được phát hành để vá 4 lỗ hổng an ninh. Đặc biệt, trong đó có một lỗ hổng được phát hiện bởi hai nhà nghiên cứu đến từ Việt Nam. Hai trong bốn lỗ hổng là lỗi SQL injections trong WordPress. Lỗi thứ nhất tồn tại trong hàm WP_Meta_Query được phát hiện bởi nhà nghiên...

Một plugin tối ưu hóa SEO WordPress phổ biến có tên gọi là All in One SEO tồn tại một cặp lỗ hổng an ninh, khi kết hợp thành chuỗi khai thác có thể khiến chủ sở hữu trang web mở quyền tiếp quản trang web. Plugin này được sử dụng bởi hơn 3 triệu trang web trên thế giới. Theo các nhà nghiên cứu...

Gần 1,6 triệu website sử dụng nền tảng WordPress là mục tiêu của chiến dịch tấn công quy mô lớn bắt nguồn từ 16.000 địa chỉ IP, bằng cách khai thác lỗ hổng trong 04 plugin và 15 thư viện code (theme framework) Epsilon. Công ty Wordfence tiết lộ chi tiết về các cuộc tấn công từ ngày 9/12. Hãng...

Plugin OptinMonster bị ảnh hưởng bởi một lỗ hổng nghiêm trọng cao cho phép truy cập API trái phép và tiết lộ thông tin nhạy cảm trên khoảng một triệu trang web WordPress. Với mã định danh CVE-2021-39341, lỗ hổng được phát hiện bởi nhà nghiên cứu Chloe Chamberland vào ngày 28 tháng 9 năm 2021...

Các nhà nghiên cứu cảnh báo rằng lỗ hổng XSS trong plugin WordPress phổ biến, SEOPress, có thể cho phép kẻ tấn công kiểm soát hoàn toàn một trang web. Theo thống kê có khoản hơn 100.000 trang web đã cài đặt plugin này. Lỗ hổng cho phép kẻ tấn công chèn các tập lệnh web tùy ý vào một trang web...