Hai lỗ hổng RCE, được theo dõi định danh CVE-2024-24550 và CVE-2024-24551, bắt nguồn từ việc xử lý tải lên tệp không đúng cách trong API tệp và API hình ảnh của Bludit. Những kẻ tấn công, nếu có mã thông báo API, có thể khai thác các lỗ hổng này để tải lên và thực thi các tệp PHP độc hại, từ đó xâm phạm máy chủ cơ bản. Dẫn đến hậu quả như phá hoại các trang web, đánh cắp dữ liệu nhạy cảm, phân phối phần mềm độc hại hoặc thậm chí khởi động các cuộc tấn công tiếp theo vào các hệ thống khác. Hành động ngay lập tức là cần thiết để bảo vệ các trang web sử dụng Bludit.
Ngoài các lỗ hổng RCE, hệ thống Bludit CMS còn tồn tại thêm ba lỗ hổng khác:
Lỗ hổng Session Fixation định danh CVE-2024-24552 cho phép kẻ tấn công có thể chiếm quyền phiên người dùng và truy cập trái phép. Weak Password Hashing định danh CVE-2024-24553 có thể dễ bị tấn công brute-force. Insecure Token Generation định danh CVE-2024-24554: Mã thông báo dễ đoán, cho phép vượt qua bảo mật. Hiện tại, Bludit vẫn chưa đưa ra bất kỳ giải pháp nào cho các lỗ hổng này.
Các chuyên gia khuyến cáo người dùng Bludit nên tắt API nếu không cần thiết để giảm nguy cơ bị tấn công RCE; Theo dõi nhật ký và hoạt động của trang web để phát hiện dấu hiệu bất thường; Nếu người dùng ưu tiên bảo mật cần cân nhắc chuyển sang CMS khác có khả năng khắc phục lỗ hổng tốt hơn. Ngoài ra, người dùng nên theo dõi các bản cập nhật từ nhóm Bludit để đảm bảo an toàn.
Nguyễn Như
09:00 | 31/05/2018
14:00 | 02/07/2024
12:00 | 19/06/2024
09:00 | 18/11/2024
Microsoft dường như đang có kế hoạch thay thế trợ lý AI Copilot bằng một cái tên mới Windows Intelligence. Thông tin này được phát hiện trong bản dựng Windows 11 mới nhất, báo hiệu một sự thay đổi lớn trong chiến lược AI của "gã khổng lồ" phần mềm.
14:00 | 12/11/2024
Bộ phận quản trị Google Cloud đã thông báo rằng họ sẽ thực thi xác thực đa yếu tố (MFA) bắt buộc đối với tất cả người dùng vào cuối năm 2025. Đây là một phần trong nỗ lực nâng cao khả năng bảo mật tài khoản của Google.
15:00 | 29/10/2024
Đầu tháng 10 vừa qua, Synopsys Software Integrity Group đã đánh dấu một bước ngoặt mới trong hành trình phát triển của mình với việc chính thức đổi tên thương hiệu thành Black Duck (Black Duck® Software, Inc.). Black Duck hứa hẹn sẽ mang đến những giải pháp bảo mật ứng dụng toàn diện, mạnh mẽ và đáng tin cậy, giúp các tổ chức và doanh nghiệp an toàn trên hành trình chuyển đổi số.
07:00 | 14/10/2024
Theo cảnh báo từ các chuyên gia Công ty An ninh mạng Bkav, hiện có hai website giả mạo ứng dụng Zalo có địa chỉ là zaloweb.me và zaloweb.vn do tin tặc tạo ra để lừa người dùng với hàng triệu lượt truy cập mỗi ngày.
Bắt đầu từ năm 2025, Samsung CryptoCore - môđun mã hóa của Samsung Electronics sẽ được tích hợp hoàn toàn vào hệ điều hành Smart TV Tizen OS của Samsung, nhằm tăng cường bảo mật cho các sản phẩm chính như TV, màn hình và bảng hiệu kỹ thuật số.
10:00 | 12/12/2024