Trong đó, CVE-2022-43781 là lỗ hổng chèn lệnh bằng cách sử dụng các biến môi trường trong phần mềm, có thể cho phép kẻ tấn công kiểm soát tên người dùng để chiếm quyền thực thi mã trên hệ thống. Lỗ hổng ảnh hưởng đến các phiên bản từ 7.0 đến 7.21 và 8.0 đến 8.4. Atlassian đưa ra giải pháp tạm thời bằng cách khuyến cáo người dùng tắt tùy chọn "Public Signup" (Administration > Authentication). Tuy nhiên, người dùng đã được xác thực như ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đã tắt "Public Signup".
Lỗ hổng CVE-2022-43782 liên quan đến cấu hình sai trong Crowd Server và Data Center có thể cho phép kẻ tấn công gọi các điểm cuối API có đặc quyền, nhưng chỉ trong trường hợp đang kết nối từ địa chỉ IP được thêm vào cấu hình Remote Address. Người dùng đã nâng cấp từ phiên bản trước Crowd 3.0 khó có thể bị ảnh hưởng bởi CVE-2022-43782.
Các lỗ hổng trong Atlassian và Bitbucket ghi nhận đang bị khai thác trên thực tế, do đó người dùng cần nhanh chóng cập nhật các bản vá để tránh những rủi ro đáng tiếc.
M.H
14:00 | 16/12/2022
16:00 | 09/11/2022
14:00 | 26/03/2024
07:00 | 10/02/2023
08:00 | 07/11/2022
14:00 | 16/12/2022
15:00 | 14/11/2022
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025