wordpress

Một chiến dịch phần mềm độc hại tinh vi nhắm vào WordPress, dùng mã PHP xáo trộn âm thầm cài Remote Access Trojan (RAT) vào thiết bị người truy cập, duy trì quyền kiểm soát lâu dài. Kẻ tấn công khai thác các trang đã bị xâm nhập, tạo backdoor, sử dụng dòng lệnh tự động và kết nối bí mật tới...

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong plugin AI Engine trên WordPress, khiến hơn 100.000 website gặp nguy cơ bị chiếm quyền quản trị chỉ với tài khoản cấp độ thấp (subscriber). Lỗ hổng bảo mật được định danh là CVE-2025-5071 với xếp hạng CVSS cao là 8,8, ảnh hưởng đến các...

Một chiến dịch phần mềm độc hại tinh vi nhắm vào quản trị viên WordPress đã được phát hiện, tin tặc đã lợi dụng một plugin giả mạo tên “wp-runtime-cache” để đánh cắp thông tin đăng nhập và xâm nhập vào hệ thống. Plugin này chỉ bao gồm một tệp duy nhất là "wp-runtime-cache.php", không có mô...

Lỗ hổng nghiêm trọng CVE-2025-47577 (CVSS: 10) - CRITICAL, đã được phát hiện trong plugin TI WooCommerce Wishlist (phiên bản 2.9.2 trở về trước), đang được sử dụng bởi hơn 100.000 website thương mại điện tử. Cho phép kẻ tấn công chưa xác thực tải lên và thực thi các tệp độc hại, dẫn đến nguy cơ...

Một lỗ hổng nghiêm trọng đã được phát hiện trong plugin quản lý sự kiện rất phổ biến của WordPress - Eventin, khiến hơn 10.000 trang web có nguy cơ bị chiếm quyền kiểm soát hoàn toàn và số lượng trang web bị tấn công này có thể lớn hơn rất nhiều. Vì WordPress chiếm khoảng 43-45% website toàn cầu...

Lỗ hổng bảo mật nghiêm trọng (CVE-2025-3102, còn được theo dõi với mã khác là CVE-2025-27007) đã được phát hiện trong plugin OttoKit WordPress (trước đây gọi là SureTriggers) là một plugin tự động hóa và tích hợp cho WordPress, đang được sử dụng trên hơn 100.000 trang web. Plugin này cho phép...

Một chiến dịch tấn công mới nhắm vào các trang WordPress thông qua plugin giả mạo có tên "WP-antymalwary-bot.php". Plugin này được ngụy trang như một công cụ bảo mật nhưng thực chất là phần mềm độc hại, cho phép kẻ tấn công chiếm quyền quản trị từ xa và thực thi mã độc trên trang web. Plugin...

Một lỗ hổng nghiêm trọng vừa được tiết lộ trong plugin RomethemeKit For Elementor- một plugin WordPress phổ biến với hơn 30.000 website đang sử dụng, có thể cho phép người dùng đã xác thực thực thi mã từ xa- Remote Code Execution (RCE), do cấp quyền không đúng và không kiểm tra. Lỗ hổng này...

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong plugin WordPress phổ biến- WP Ghost. Với hơn 200.000 lượt cài đặt đang hoạt động, WP Ghost là một plugin bảo mật và tường lửa miễn phí cho trang web WordPress bằng cách bổ sung “nhiều lớp bảo vệ để chặn bot và ngăn chặn truy cập trái...

Tội phạm mạng ngày càng tinh vi khi sử dụng chiến thuật nhắm mục tiêu vào các trang web thương mại điện tử như WordPress. Cuộc tấn công này bao gồm một skimmer (phần mềm đánh cắp) thẻ tín dụng, một cửa hậu (backdoor) quản lý tệp ẩn và một tập lệnh trinh sát độc hại. Cuộc tấn công này được...

Một lỗ hổng nghiêm trọng đã được phát hiện trong s2Member Pro - plugin phổ biến trong WordPress với điểm CVSS 9,8. Lỗ hổng này có thể cho phép kẻ tấn công chưa xác thực chèn các đối tượng PHP độc hại vào các trang web dễ bị tấn công, ảnh hưởng đến hàng triệu website. s2Member Pro là một...

Plugin VibeBP và WPLMS Theme trong WPLMS Wordpress đang tồn tại nhiều lỗ hổng nghiêm trọng cho phép kẻ tần công có thể thực thi mã từ xa, leo thang đặc quyền và thực hiện tấn công SQL Injection. Các lỗ hổng trong WPLMS Theme: CVE-2024-56046 (CVSS 10.0): Cho phép kẻ tấn công tải lên các tệp...

Các lỗ hổng bảo mật nghiêm trọng mới đã được phát hiện trong plugin LiteSpeed Cache cho WordPress, có thể cho phép các tác nhân độc hại thực thi mã JavaScript tùy ý trong một số điều kiện nhất định. Lỗ hổng này, được theo dõi với mã CVE-2024-47374 (điểm CVSS: 7.2), được mô tả là một lỗ hổng...

Một lỗ hổng có mã CVE-2024-5756 điểm CVSS 9,8 trong Icegram Express, một plugin tiếp thị qua email phổ biến cho WordPress với hơn 90.000 cài đặt đang hoạt động, đặt nhiều dữ liệu nhạy cảm của người dùng trang web vào nguy cơ rủi ro. Lỗ hổng CVE-2024-5756 là một dạng SQL injection dựa trên...

Những kẻ tấn công đã bắt đầu tận dụng lỗ hổng trong plugin LiteSpeed Cache cũ cho WordPress để tạo tài khoản quản trị và kiểm soát các trang web. LiteSpeed Cache (LS Cache) được quảng cáo là một plugin caching được sử dụng trong hơn năm triệu trang web WordPress giúp tăng tốc độ tải trang, cải...

Lợi dụng lỗ hổng CVE-2024-27956, điểm 9,9/10 trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài. Plugin WP Automatic cho phép các quản trị viên tự động nhập nội...

Plugin Forminator của WordPress được sử dụng trên hơn 500.000 trang web tồn tại lỗ hổng cho phép kẻ tấn công thực hiện tải tệp không giới hạn lên máy chủ. Đây là lỗ hổng nghiêm trọng (CVE-2024-28890, CVSS v3: 9.8) trong Forminator có thể cho phép kẻ tấn công từ xa tải phần mềm độc hại lên các...

Một lỗ hổng nghiêm trọng ảnh hưởng đến plugin LayerSlider trong WordPress có thể bị lạm dụng để trích xuất thông tin nhạy cảm từ cơ sở dữ liệu, chẳng hạn như password hash. LayerSlider là trình chỉnh sửa nội dung web trực quan, công cụ thiết kế và tạo hiệu ứng hình ảnh kỹ thuật số cho phép...

Lỗ hổng có mã định danh CVE-2024-1538, điểm CVSS 8,8 được phát hiện trong plugin File Manage (Trình quản lý tệp) của WordPress. Plugin này hiện có hơn 1 triệu lượt cài đặt đang hoạt động, cho phép quản trị viên trang web quản lý các tệp và thư mục trực tiếp trong bảng điều khiển WordPress. Lỗ...

Một lỗ hổng vừa được phát hiện trong plugin LiteSpeed Cache dành cho WordPress có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền. Lỗ hổng được theo dõi là CVE-2023-40000, điểm CVSS 8,3 đã được xử lý trong phiên bản 5.7.0.1. Chuyên gia an ninh mạng cho biết: “Plugin LiteSpeed...