Lỗ hổng có mã định danh CVE-2024-4984 có thể cho phép tin tặc đưa các tập lệnh độc hại vào các trang web, xâm phạm dữ liệu của khách truy cập, chuyển hướng lưu lượng truy cập hoặc thậm chí chiếm quyền kiểm soát các trang web bị ảnh hưởng.
Lỗ hổng XSS tồn tại trong trường “display_name”, được sử dụng để hiển thị tên tác giả trên các bài đăng và trang blog. Do không đủ khả năng kiểm soát dữ liệu đầu vào và đầu ra, những có quyền truy cập cấp cộng tác viên trở lên có thể thao túng trường này để tiêm mã độc.
Bất kỳ trang web WordPress nào chạy Yoast SEO phiên bản 22.6 trở xuống đều có nguy cơ bị tấn công. Một cuộc tấn công XSS thành công có thể cho phép kẻ tấn công có thể đánh cắp thông tin nhạy cảm như thông tin đăng nhập của người dùng hoặc dữ liệu tài chính; Thay đổi giao diện hoặc nội dung của trang web. Cùng với đó, kẻ tấn công có thể tạo các trang đăng nhập hoặc cửa sổ bật lên giả mạo để lừa người dùng tiết lộ thông tin của họ. Đồng thời, các tập lệnh được chèn có thể tải hại xuống thiết bị của khách truy cập
Người dùng được khuyến cáo nên cập nhật Yoast SEO lên phiên bản 22.7, xem xét lại quyền của người dùng và giới hạn quyền truy cập ở cấp cộng tác viên chỉ cho những cá nhân đáng tin cậy.
Phương Anh
10:00 | 13/05/2024
10:00 | 07/06/2024
14:00 | 31/05/2024
12:00 | 19/06/2024
14:00 | 08/07/2024
10:00 | 22/04/2024
13:00 | 06/06/2024
09:00 | 02/04/2024
07:00 | 14/10/2024
Theo cảnh báo từ các chuyên gia Công ty An ninh mạng Bkav, hiện có hai website giả mạo ứng dụng Zalo có địa chỉ là zaloweb.me và zaloweb.vn do tin tặc tạo ra để lừa người dùng với hàng triệu lượt truy cập mỗi ngày.
13:00 | 30/09/2024
LinkedIn - nền tảng mạng xã hội chuyên nghiệp đã ngừng xử lý dữ liệu người dùng tại Vương quốc Anh để đào tạo các mô hình trí tuệ nhân tạo (AI) của mình. Động thái này diễn ra sau khi Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) bày tỏ lo ngại về cách tiếp cận của công ty trong việc sử dụng dữ liệu người dùng cho mục đích AI.
10:00 | 30/08/2024
Ngày 20/8, Tòa phúc thẩm liên bang tại California, Mỹ đã ra phán quyết khôi phục vụ kiện của những người dùng trình duyệt Chrome, trong đó cáo buộc Google thu thập trái phép dữ liệu cá nhân thông qua tính năng Sync.
10:00 | 20/08/2024
Microsoft đã tiết lộ một lỗ hổng zero-day chưa được vá trong Office, nếu khai thác thành công có thể dẫn đến việc lộ lọt thông tin nhạy cảm trái phép cho kẻ tấn công.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Báo cáo của Kaspersky về Bối cảnh an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong quý 2 năm 2024 cho thấy các cuộc tấn công bằng mã độc tống tiền tăng 20% so với quý trước. Báo cáo nhấn mạnh mối đe dọa ngày càng gia tăng đối với các lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới, trong đó mã độc tống tiền (ransomware) và phần mềm gián điệp gây ra những rủi ro đáng kể nhất.
13:00 | 25/10/2024
