rce

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong phần mềm chuyển tệp CrushFTP đang gây chấn động cộng đồng an ninh mạng. Lỗ hổng có mã định danh là CVE-2025-54309, đạt điểm CVSS 9.8 và cho phép kẻ tấn công thực thi lệnh tùy ý trên máy chủ mà không cần xác thực. Cơ chế khai thác: tấn...

Sophos vừa công bố năm lỗ hổng bảo mật độc lập trong sản phẩm Sophos Firewall, trong đó có hai lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực. Thông báo được phát hành ngày 21/7/2025, nhấn mạnh các lỗ hổng này ảnh hưởng đến các cấu hình nhất định, dù tỷ lệ thiết bị bị ảnh...

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Microsoft SharePoint, cho phép kẻ tấn công đã xác thực thực thi mã từ xa bằng cách lợi dụng cơ chế xử lý WebPart. Vấn đề nằm ở quá trình giải tuần tự không an toàn trong hệ thống, qua đó kẻ xấu có thể chèn mã độc vào nội dung XML được...

Một lỗ hổng nghiêm trọng vừa được phát hiện trong Git CLI, công cụ phổ biến bậc nhất trong giới lập trình, với mã định danh CVE-2025-48384. Lỗ hổng này mang mức điểm CVSS 8,1, cho phép kẻ tấn công ghi tệp tùy ý và thực thi mã từ xa (RCE) trên các hệ thống Linux và macOS thông qua một thao tác...

Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng vừa được phát hiện trong Kafbat UI, giao diện quản lý mã nguồn mở dành cho Apache Kafka. Lỗ hổng này được gán mã CVE-2025-49127 và được đánh giá điểm CVSS 10.0. Kẽ hở từ JMX trong cấu hình động Phiên bản Kafbat UI 1.0.0 cho phép người dùng cấu...

Microsoft đã phát hành bản vá khẩn cấp cho một lỗ hổng bảo mật ảnh hưởng đến hệ thống xác thực trong Windows, với mức điểm CVSS 9,8/10. Lỗ hổng này có thể cho phép tin tặc chiếm quyền điều khiển hoàn toàn hệ thống từ xa mà không cần bất kỳ tương tác nào từ người dùng. Mã định danh...

Một lỗ hổng bảo mật nghiêm trọng có mã CVE-2025-34067 đã được phát hiện trong nền tảng quản lý an ninh applyCT (trước đây gọi là HikCentral) của Hikvision - nhà sản xuất thiết bị giám sát nổi tiếng thế giới. Với điểm CVSS 10.0 - mức nguy hiểm cao nhất, lỗ hổng này cho phép tin tặc thực thi lệnh...

Hai nền tảng quan trọng trong hệ sinh thái Java – Apache Tomcat và Apache Camel bị phát hiện tồn tại nhiều lỗ hổng bảo mật. Ngay sau khi các chi tiết kỹ thuật được công bố, hàng loạt chiến dịch dò quét và khai thác tự động đã diễn ra trên diện rộng, khiến các tổ chức doanh nghiệp và cơ quan...

Các nhà nghiên cứu an ninh mạng cảnh báo về một chiến dịch mới đang khai thác lỗ hổng nghiêm trọng trong nền tảng Langflow để phát tán mã độc botnet Flodrix. Theo báo cáo kỹ thuật của nhóm nghiên cứu Trend Micro, kẻ tấn công lợi dụng lỗ hổng để thực thi các đoạn mã tải về (downloader script)...

Một lỗ hổng bảo mật cực kỳ nghiêm trọng vừa được phát hiện trong AWS Amplify Studio - nền tảng phát triển giao diện người dùng (UI) trực quan dành cho React. Lỗ hổng này được gán mã định danh CVE-2025-4318, với điểm CVSS 9,5/10, cho phép kẻ tấn công thực thi mã từ xa (RCE) trên máy của lập trình...

Một lỗ hổng bảo mật nghiêm trọng (CVE-2025-47277) vừa được phát hiện trong vLLM – nền tảng phục vụ suy luận hiệu suất cao dành cho các mô hình ngôn ngữ lớn (LLMs). Đây là một lỗ hổng cực kỳ nghiêm trọng trong hạ tầng AI mã nguồn mở. Với sự phổ biến ngày càng tăng của LLM nội bộ, mọi tổ chức...

Lỗ hổng bảo mật nghiêm trọng CVE-2025-20188 với điểm CVSS 10, ảnh hưởng đến các thiết bị Cisco Wireless LAN Controller (WLC) chạy hệ điều hành IOS XE, cho phép tin tặc tấn công từ xa, không cần xác thực có thể tải lên tệp tùy ý và thực thi mã độc với quyền root trên thiết bị. Nguyên nhân...

Các nhà nghiên cứu An ninh mạng vừa công bố một loạt lỗ hổng bảo mật trong giao thức AirPlay của Apple (hiện đã được vá). Nếu bị khai thác thành công, các lỗ hổng này có thể cho phép kẻ tấn công chiếm quyền điều khiển các thiết bị hỗ trợ công nghệ không dây độc quyền này. Chuỗi lỗ hổng này...

Lỗ hổng bảo mật nghiêm trọng được theo dõi với mã CVE-2025-27520 (CVSS: 9.8), đã được phát hiện trong phiên bản mới nhất (v1.4.2) trong thư viện Python BentoML. Lỗ hổng này, cho phép kẻ tấn công không xác thực thực thi mã từ xa (Remote Code Execution - RCE) trên máy chủ thông qua một lỗi...

IngressNightmare là tập hợp gồm 05 lỗ hổng nghiêm trọng trong Ingress NGINX Controller, cho phép kẻ tấn công chiếm toàn bộ cụm Kubernetes nếu không được vá lỗi kịp thời. Hơn 6.500 cụm Kubernetes đang gặp rủi ro và 43% môi trường đám mây có nguy cơ bị ảnh hưởng. Danh sách lỗ hổng cụ thể...

Veeam đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng nghiêm trọng trong phần mềm Backup & Replication, có thể dẫn đến thực thi mã từ xa (RCE). Lỗ hổng này, được theo dõi với mã CVE-2025-23120, có điểm CVSS 9.9/10, ảnh hưởng đến phiên bản 12.3.0.310 và tất cả các bản dựng phiên bản...

Lỗ hổng thực thi mã từ xa PHP nghiêm trọng ảnh hưởng đến hệ thống Windows hiện đang bị khai thác hàng loạt. Được theo dõi với mã CVE-2024-4577 (CVSS là 9,8), lỗ hổng chèn tham số PHP-CGI này ảnh hưởng đến các cài đặt PHP trên Windows với PHP chạy ở chế độ CGI. Việc khai thác thành công cho phép...

Theo thông báo từ MediaTek được phát hành từ đầu tháng 1/ 2025, đề cập đến một loạt các lỗ hổng ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh. Lỗ hổng nghiêm trọng nhất được đề cập trong thông báo này...

Mở màn năm 2025, Android công bố các lỗ hổng nghiêm trọng ảnh hưởng đến hàng triệu thiết bị Android toàn cầu, bao gồm các thành phần System, Framework, Media Framework và phần cứng từ các nhà cung cấp Qualcomm và MediaTek. Các lỗ hổng trong thành phần System (CVE-2024-43096, CVE-2024-43770...

Redis, một hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến, hoạt động trên RAM, giúp xử lý dữ liệu nhanh chóng vừa phát hiện 2 lỗ hổng đe dọa hàng triệu người dùng. Cụ thể, lỗ hổng CVE-2024-51741 cho phép tấn công từ chối dịch vụ (DoS), trong khi CVE-2024-46981 có thể cho phép thực thi mã...