Elementor, một plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt, được phát hiện có chứa một lỗ hổng cho phép thực thi mã từ xa, có thể bị lạm dụng để chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Tuần trước, Plugin Vulnerabilities đã tiết lộ thông tin về lỗ hổng này, cho biết lỗ hổng được phát hiện lần đầu trong phiên bản 3.6.0 được phát hành vào ngày 22 tháng 3 năm 2022. Khoảng 37% người dùng plugin đang sử dụng phiên bản 3.6.x.
Các nhà nghiên cứu cho biết “mã độc do kẻ tấn công cung cấp có thể được thực thi trên các trang web. Trong trường hợp này, lỗ hổng có khả năng bị khai thác bởi bất kỳ người dùng nào.
Lỗ hổng này cho phép bất kỳ người dùng đã xác thực thay đổi tiêu đề, logo trang web và tải tệp tùy ý lên các trang web bị ảnh hưởng, điều này có thể dẫn đến thực thi mã.
Patchstack cho biết lỗ hổng đã được khắc phục trong phiên bản mới nhất (3.6.3) của Elementor.
Tiết lộ này được đưa ra hơn hai tháng sau khi plugin Essential Addons dành cho Elementor được phát hiện có chứa một lỗ hổng nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý trên các trang web bị xâm phạm.
Nguồn: thehackernews.com.
Tín nhiệm mạng | GitHub cho biết kẻ tấn công đã lạm dụng mã OAuth token bị đánh cắp được cấp cho hai dịch vụ xác thực bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM
Tín nhiệm mạng | Cisco phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến Wireless LAN Controller, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng mà không cần xác thực.
Tín nhiệm mạng | Một lỗ hổng bảo mật trong nền tảng NFT Rarible cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Tín nhiệm mạng | Google đã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong trình duyệt Chrome, một trong số đó đang bị khai thác trong thực tế.
Tín nhiệm mạng | Phát hiện một lỗ hổng LFI mới trong nền tảng viết blog Hashnode cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP máy chủ và các thông tin network khác.
Tín nhiệm mạng | Các nhà bảo trì dự án máy chủ web NGINX đã đưa ra các biện pháp giảm nhẹ để khắc phục các lỗ hổng bảo mật trong triển khai tham chiếu giao thức Lightweight Directory Access LDAP.