wordpress

  1. whf

    Lỗ hổng nghiêm trọng khiến hơn một triệu trang WordPress có nguy cơ bị tấn công

    Một lỗ hổng đã được phát hiện trong plugin WordPress phổ biến Essential Addons for Elementor có khả năng bị khai thác để chiếm được các đặc quyền nâng cao trên các trang web bị ảnh hưởng. Lỗ hổng có mã định danh CVE-2023-32243, đã được các nhà bảo trì plugin xử lý trong phiên bản 5.7.2 được...
  2. WhiteHat News #ID:0911

    Lỗ hổng trong plugin WordPress khiến hơn 2 triệu trang web bị tấn công

    Plugin Advanced Custom Fields của WordPress tồn tại lỗ hổng an ninh mới, người dùng được khuyến cáo cập nhật lên phiên bản 6.1.6 càng sớm càng tốt. Lỗ hổng CVE-2023-30777, liên quan đến lỗi Reflected XSS. Nhà nghiên cứu Rafie Muhammad của Patchstack cho biết: “Lỗ hổng cho phép người dùng chưa...
  3. tathoa0607

    Lỗ hổng CVE-2023-30869 nghiêm trọng trong Plugin WordPress với điểm 9,8

    Một lỗ hổng nghiêm trọng trong Plugin Easy Digital Downloads (EDD) của WordPress vừa được phát hiện với mức điểm CVSS 9,8, ảnh hưởng từ phiên bản 3.1.1.4.1 trở xuống. Plugin Easy Digital Downloads (EDD) là một nền tảng phổ biến với hơn 50,000 lượt tải về, cung cấp các tính năng cho người sử...
  4. whf

    Cảnh báo lỗ hổng nghiêm trọng trong plugin Elementor Pro dành cho WordPress

    Những kẻ tấn công đang tích cực khai thác lỗ hổng được vá gần đây trong plugin Elementor Pro dành cho WordPress được sử dụng trên hơn 12 triệu trang web. Lỗ hổng được xác định là broken access control, ảnh hưởng đến các phiên bản 3.11.6 trở về trước và đã được vá trong phiên bản 3.11.7 phát...
  5. WhiteHat Team

    WordPress vá lỗ hổng nghiêm trọng trong WooCommerce Payment

    WordPress vừa phát hành bản vá cho một lỗ hổng nghiêm trọng trong plugin thanh toán của WooCommerce (một plugin thanh toán trực tuyến miễn phí và phổ biến trên nền tảng WordPress), được cài đặt trên hơn 500.000 trang web. Lỗ hổng hiện tại chưa có mã định danh CVE, điểm CVSS 9.8 (theo Wordfence...
  6. W

    An ninh mạng Tháng 1/2023: Thì thầm mùa xuân cùng WordPress

    Tháng Giêng khi hoa đào bừng nở đón xuân, cũng là lúc người dùng WordPress – nền tảng quản trị nội dung mã nguồn mở, đón nhận những thông tin “to nhỏ” về nguy cơ bị khai thác các lỗ hổng trên nền tảng này. WordPress đã tung ra các bản sửa lỗi kịp thời, bởi vậy người dùng cần chú ý cập nhật cho...
  7. WhiteHat Team

    PoC khai thác lỗi nghiêm trọng trong các plugin phổ biến của WordPress

    Ba plugin WordPress phổ biến (hàng chục nghìn lượt cài đặt) tồn tại các lỗ hổng SQL injection nghiêm trọng. Hiện đã xuất hiện PoC của các lỗ hổng. Nhà nghiên cứu an ninh mạng Joshua Martinelle của Tenable đã phát hiện ra ba plugin tồn tại lỗ hổng này, và báo cáo kèm PoC cho WordPress vào ngày 19...
  8. W

    WordPress cảnh báo về phần mềm độc hại Linux mới khai thác hơn hai chục lỗ hổng CMS

    Các trang web WordPress đang bị nhắm mục tiêu bởi một dòng phần mềm độc hại Linux chưa từng được biết đến trước đây. Phần mềm này khai thác các lỗ hổng trong hơn hai chục plugin để xâm phạm các hệ thống. "Nếu sử dụng các phiên bản add-on cũ, thiếu các bản sửa lỗi quan trọng, các trang web sẽ có...
  9. Sugi_b3o

    Hơn 15.000 trang WordPress bị kiểm soát trong chiến dịch SEO độc hại

    Một chiến dịch phát tán mã độc đã kiểm soát hơn 15,000 trang WordPress nhằm chuyển hướng khách truy cập đến các trang Q&A không có thật. "Sự chuyển hướng có chủ đích là để tăng "quyền (authority)" cho các trang web của kẻ tấn công đối với các công cụ tìm kiếm", nhà nghiên cứu Ben Martin của...
  10. whf

    Tin tặc khai thác diện rộng lỗ hổng 0-day trong plugin BackupBuddy của WordPress

    Một lỗ hổng zero-day trong plugin BackupBuddy của WordPress đang bị tin tặc khai thác tích cực. BackupBuddy cho phép người dùng sao lưu toàn bộ cài đặt WordPress của họ từ bảng điều khiển, bao gồm các tập tin chủ đề, trang, bài đăng, widget, người dùng và tập tin phương tiện… Ước tính có...
  11. DDos

    Phiên bản WordPress 6.0.2 giải quyết 3 lỗ hổng

    Nhóm WordPress trong tuần này đã phát hành phiên bản 6.0.2, với các bản vá cho 3 lỗ hổng an ninh, bao gồm một lỗi SQL injection nghiêm trọng. Được xác định trong chức năng Link của WordPress, trước đây được gọi là 'Bookmarks', lỗ hổng chỉ ảnh hưởng đến các phiên bản WordPress cũ, vì tính năng...
  12. DDos

    25.000 trang web WordPress tồn tại các plugin độc hại

    Các nhà nghiên cứu tại Viện Công nghệ Georgia phát hiện rất nhiều các plugin độc hại trên hàng chục nghìn trang web WordPress. Dựa trên phân tích các bản sao lưu hàng ngày của hơn 400.000 máy chủ web, nhà nghiên cứu tìm thấy hơn 47.000 plugin độc hại được cài đặt trên gần 25.000 trang web...
  13. whf

    Hơn một triệu website Wordpress phải cập nhật bản vá cho lỗ hổng nghiêm trọng

    Các trang web tạo trên nền tảng WordPress sử dụng plugin Ninja Forms gần đây đã được cập nhật tự động để vá lỗ hổng nghiêm trọng. Lỗ hổng được cho là đã bị khai thác trong thực tế. Lỗ hổng, một khi bị khai thác thành công có thể chèn mã (code injection), được xếp hạng 9,8 trên 10 về mức độ...
  14. DDos

    Lỗ hổng nghiêm trọng cho phép hacker kiểm soát trang WordPress

    Một lỗ hổng leo thang đặc quyền nghiêm trọng tồn tại trong hai chủ đề Jupiter và JupiterX Premium ảnh hưởng đến hơn 90.000 trang WordPress, cho phép hacker kiểm soát hoàn toàn trang web. Được phát hiện bởi nhà nghiên cứu Ramuel Gall của WordFence Threat Intelligence Team, lỗ hổng nằm trong...
  15. W

    Tấn công quy mô lớn nhắm tới plugin Tatsu Builder của WordPress

    Hàng chục nghìn trang web WordPress đang có nguy cơ bị tấn công quy mô lớn qua lỗ hổng thực thi mã từ xa trong plugin Tatsu Builder. Lỗ hổng CVE-2021-25094 (điểm CVSS là 8,1) tồn tại do có thể sử dụng hành động add_custom_font mà không cần xác thực khi tải lên một file zip giả mạo được giải nén...
  16. DDos

    Hàng nghìn website WordPress bị hack để phục vụ cho mục đích lừa đảo

    Các nhà nghiên cứu an ninh mạng từ Sucuri đã phát hiện ra một chiến dịch tấn công quy mô lớn nhắm mục tiêu vào các trang web WordPress để chèn mã JavaScript độc hại nhằm chuyển hướng khách truy cập đến nội dung lừa đảo. Khi một trang web bị xâm nhập và chèn mã độc, khách truy cập sẽ tự động...
  17. DDos

    Lỗ hổng trong Elementor WordPress plugin ảnh hưởng đến 500.000 trang web

    Nhóm phát triển của plugin Elementor Website Builder cho WordPress vừa phát hành phiên bản 3.6.3 để giải quyết một lỗ hổng thực thi mã từ xa nghiêm trọng có thể ảnh hưởng đến 500.000 trang web. Mặc dù việc khai thác lỗ hổng yêu cầu xác thực, nhưng mức độ nghiêm trọng của nó bắt nguồn từ việc...
  18. WhiteHat News #ID:2112

    An ninh mạng tháng 2/2022: Framework open-source cho phát triển web hữu ích nhưng tồn tại nhiều rủi ro

    Bức tranh an ninh mạng tháng 2 nổi bật với điểm nhấn là hàng loạt lỗ hổng trong hai nền tảng phát triển thương mại điện tử mã nguồn mở phổ biến WordPress và Magento. Đây không phải tháng đầu tiên hai framework open-source dính lỗi nhưng các lỗ hổng tháng này đều ở mức cực kỳ nghiêm trọng (điểm...
  19. DDos

    WordPress 5.8.3 vá lỗ hổng SQL injection và Cross-Site Scripting

    Gần đây, WordPress 5.8.3 được phát hành để vá 4 lỗ hổng an ninh. Đặc biệt, trong đó có một lỗ hổng được phát hiện bởi hai nhà nghiên cứu đến từ Việt Nam. Hai trong bốn lỗ hổng là lỗi SQL injections trong WordPress. Lỗi thứ nhất tồn tại trong hàm WP_Meta_Query được phát hiện bởi nhà nghiên...
  20. tgnd

    Lỗ hổng trong plugin 'All in One SEO' đe dọa chiếm quyền quản trị 3 triệu trang web

    Một plugin tối ưu hóa SEO WordPress phổ biến có tên gọi là All in One SEO tồn tại một cặp lỗ hổng an ninh, khi kết hợp thành chuỗi khai thác có thể khiến chủ sở hữu trang web mở quyền tiếp quản trang web. Plugin này được sử dụng bởi hơn 3 triệu trang web trên thế giới. Theo các nhà nghiên cứu...
Bên trên