Cảnh báo các lỗ hổng trong hệ thống Bludit CMS

14:00 | 10/07/2024 | TIN TỨC SẢN PHẨM

Mới đây, các chuyên gia đã phát hiện năm lỗ hổng trong Bludit - một hệ thống quản lý nội dung mã nguồn mở được sử dụng rộng rãi bởi nhiều trang web và blog. Trong số đó, hai lỗ hổng nghiêm trọng, cho phép thực thi mã từ xa (RCE), có khả năng cho phép kẻ tấn công kiểm soát hoàn toàn các trang web bị ảnh hưởng.

Cảnh báo các lỗ hổng trong hệ thống Bludit CMS

Hai lỗ hổng RCE, được theo dõi định danh CVE-2024-24550 và CVE-2024-24551, bắt nguồn từ việc xử lý tải lên tệp không đúng cách trong API tệp và API hình ảnh của Bludit. Những kẻ tấn công, nếu có mã thông báo API, có thể khai thác các này để tải lên và thực thi các tệp PHP độc hại, từ đó xâm phạm máy chủ cơ bản. Dẫn đến hậu quả như phá hoại các trang web, đánh cắp dữ liệu nhạy cảm, phân phối phần mềm độc hại hoặc thậm chí khởi động các cuộc tấn công tiếp theo vào các hệ thống khác. Hành động ngay lập tức là cần thiết để bảo vệ các trang web sử dụng Bludit.

Ngoài các lỗ hổng RCE, hệ thống Bludit CMS còn tồn tại thêm ba lỗ hổng khác:

Session Fixation định danh CVE-2024-24552 cho phép kẻ tấn công có thể chiếm quyền phiên người dùng và truy cập trái phép. Weak Password Hashing định danh CVE-2024-24553 có thể dễ bị tấn công brute-force. Insecure Token Generation định danh CVE-2024-24554: Mã thông báo dễ đoán, cho phép vượt qua bảo mật. Hiện tại, Bludit vẫn chưa đưa ra bất kỳ giải pháp nào cho các lỗ hổng này.

Các chuyên gia khuyến cáo người dùng Bludit nên tắt API nếu không cần thiết để giảm nguy cơ bị tấn công RCE; Theo dõi nhật ký và hoạt động của trang web để phát hiện dấu hiệu bất thường; Nếu người dùng ưu tiên bảo mật cần cân nhắc chuyển sang CMS khác có khả năng khắc phục lỗ hổng tốt hơn. Ngoài ra, người dùng nên theo dõi các bản cập nhật từ nhóm Bludit để đảm bảo an toàn.

Nguyễn Như

‹ › ×

Tin liên quan

Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

09:00 | 31/05/2018

Mới đây, một chiến dịch lừa đảo với mục tiêu khiến các website hiển thị các quảng cáo độc hại và chuyển hướng người dùng đến thông báo “máy tính bị nhiễm Trojan”, hoặc “mã độc đã gây ảnh hưởng tới hàng nghìn website”.

Apple vá lỗ hổng có thể cho phép nghe lén trên các thiết bị AirPods

14:00 | 02/07/2024

Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào tai nghe một cách trái phép.

Nvidia vá các lỗ hổng trình điều khiển GPU có mức độ nghiêm trọng cao

12:00 | 19/06/2024

Nvidia đã phát hành bản cập nhật phần mềm giải quyết nhiều lỗ hổng nghiêm trọng cao trong trình điều khiển GPU và phần mềm GPU ảo (Virtual GPU).

Tin cùng chuyên mục

Google vướng thêm rắc rối pháp lý mới về AI từ EU

07:00 | 23/09/2024

Ngày 12/9, các cơ quan quản lý của Liên minh châu Âu cho biết, họ đang vào cuộc điều tra mô hình ngôn ngữ Pathways 2 (PaLM2) - một trong những mô hình trí tuệ nhân tạo của Google do lo ngại về việc tuân thủ các quy tắc bảo mật dữ liệu GDPR.

Nvidia chuẩn bị phiên bản chip AI mới cho thị trường Trung Quốc

15:00 | 04/08/2024

Nvidia đang nghiên cứu một phiên bản chip AI mới dành cho thị trường Trung Quốc. Phiên bản mới này được cho là sẽ tương thích với các biện pháp kiểm soát xuất khẩu hiện tại của Hoa Kỳ.

Cập nhật bản vá lỗ hổng bảo mật tháng 6

10:00 | 28/06/2024

Microsoft, Adobe và SAP lần lượt phát hành bản vá cho 229 sản phẩm của mình trong tháng 6. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cisco vá các lỗi trên Webex sau khi các cuộc họp của Chính phủ Đức bị lộ

09:00 | 10/06/2024

Ngày 4/6 vừa qua, Cisco thông báo về bản bảo mật mới sau khi giới truyền thông đưa tin rằng các cuộc họp sử dụng Webex của chính phủ Đức đã bị lộ, có khả năng cho phép đối tượng xấu có được các thông tin nhạy cảm.