xss

Một lỗ hổng bảo mật mới với tên gọi "PolyShell" vừa được công bố, gây ảnh hưởng nghiêm trọng đến tất cả các phiên bản ổn định của Magento Open Source và Adobe Commerce phiên bản 2. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa và chiếm đoạt tài khoản mà không cần xác thực, đặt hàng nghìn...

CISA đã phát đi cảnh báo khẩn yêu cầu các cơ quan liên bang Mỹ khắc phục một lỗ hổng đang bị khai thác tích cực trong hệ thống email doanh nghiệp phổ biến Zimbra Collaboration Suite (ZCS). Động thái này cho thấy mức độ nghiêm trọng của lỗ hổng khi không chỉ ảnh hưởng đến chính phủ mà còn đe dọa...

Một lỗ hổng nghiêm trọng vừa được phát hiện trong framework Angular đang khiến cộng đồng phát triển web và giới an ninh mạng đặc biệt lo ngại. Lỗ hổng có mã định danh là CVE-2026-32635, cho phép kẻ tấn công chèn và thực thi mã độc trực tiếp trên trình duyệt người dùng, biến chính những tính năng...

WordPress vừa chính thức phát hành phiên bản 6.9.2 nhằm khắc phục triệt để 10 lỗ hổng bảo mật nghiêm trọng có nguy cơ gây ảnh hưởng trực tiếp đến sự an toàn của hệ sinh thái website toàn cầu. Bản cập nhật này tập trung xử lý các lỗi quản trị trọng yếu từ thực thi mã chéo đến giả mạo yêu cầu máy...

OWASP Core Rule Set (CRS) từ lâu được xem là bộ quy tắc phòng thủ cốt lõi cho hàng triệu hệ thống web trên toàn cầu, đóng vai trò như “lá chắn” bảo vệ ứng dụng khỏi các cuộc tấn công phổ biến như SQL Injection hay Cross-Site Scripting (XSS). Tuy nhiên, mới đây, lỗ hổng bảo mật ở mức CRITICAL đã...

Polyglot Payload là một đoạn mã có thể thực thi hợp lệ trong nhiều ngữ cảnh khác nhau của một ứng dụng, chẳng hạn như HTML, JavaScript, SQL, XML hoặc dòng lệnh (command-line). Nói cách khác, cùng một chuỗi input có thể được xử lý theo nhiều cách khác nhau tùy vào ngữ cảnh và nếu được sử dụng...

GitLab vừa công bố loạt bản cập nhật bảo mật cho các phiên bản 18.1.2, 18.0.4 và 17.11.6 trên cả Community Edition (CE) và Enterprise Edition (EE), nhằm khắc phục nhiều lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực thi hành vi trái phép thông qua việc chèn nội dung độc hại. Lỗ hổng XSS...

Mới đây, CISA đã thêm hai lỗ hổng bảo mật nghiêm trọng vào danh sách các lỗ hổng đã bị khai thác trên thực tế (Known Exploited Vulnerabilities - KEV), cùng một cảnh báo khác liên quan đến plugin WordPress đang bị đe dọa nghiêm trọng, yêu cầu các cơ quan/tổ chức vá lỗi trước 30/6/2025. 1. Lỗ...

Một số lỗ hổng Cross-Site Scripting (XSS) trong nền tảng ảo hóa mạng VMware NSX có thể cho phép kẻ tấn công chèn mã độc và thực thi mã độc hại. Thông báo bảo mật này đã được công bố vào ngày 4 tháng 6 năm 2025, ghi nhận 3 lỗ hổng khác nhau ảnh hưởng đến giao diện người dùng của VMware NSX...

KNIME Business Hub là một nền tảng quản lý và triển khai mô hình phân tích dữ liệu, được thiết kế để hoạt động trong môi trường doanh nghiệp với khả năng tùy chỉnh và kiểm soát truy cập chặt chẽ đang vướng vào nhiều lỗ hổng nghiêm trọng. Lỗ hổng Cross-Site Scripting (CVE-2025-3019) KNIME...

GitLab kêu gọi người dùng cập nhật hệ thống ngay lập tức để khắc phục nhiều lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng. Bản cập nhật này áp dụng cho GitLab Community Edition (CE) và Enterprise Edition (EE) với các phiên bản 17.8.2, 17.7.4 và 17.6.5, khắc phục tổng cộng...

Các lỗ hổng bảo mật nghiêm trọng mới đã được phát hiện trong plugin LiteSpeed Cache cho WordPress, có thể cho phép các tác nhân độc hại thực thi mã JavaScript tùy ý trong một số điều kiện nhất định. Lỗ hổng này, được theo dõi với mã CVE-2024-47374 (điểm CVSS: 7.2), được mô tả là một lỗ hổng...

Lỗ hổng này được theo dõi với mã CVE-2024-4835, là một lỗ hổng cross-site scripting (XSS) trong trình soạn thảo mã trực tuyến (Web IDE) của GitLab cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản người dùng mà không cần xác thực. Lỗ hổng cho phép kẻ tấn công chèn các đoạn mã JavaScript...

Đến hẹn lại lên, một lỗ hổng Cross-site Scripting (XSS) với mã định danh CVE-2024-1852 trong plugin WP-Members Membership có thể bị khai thác để chèn các tập lệnh tùy ý vào các trang web. Ảnh của Bizfly Cloud WP-Members Membership là một plugin WordPress được sử dụng để quản lý và điều chỉnh...

Một lỗ hổng vừa được phát hiện trong plugin LiteSpeed Cache dành cho WordPress có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền. Lỗ hổng được theo dõi là CVE-2023-40000, điểm CVSS 8,3 đã được xử lý trong phiên bản 5.7.0.1. Chuyên gia an ninh mạng cho biết: “Plugin LiteSpeed...

Zimbra đã phát hành bản cập nhật an ninh cho một lỗ hổng zero day đang bị khai thác nhắm vào các máy chủ email Zimbra Collaboration Suite (ZCS). Có mã định danh là CVE-2023-38750, đây là lỗi Cross-Site Scripting (XSS) do các nhà nghiên cứu của Google phát hiện. Lỗ hổng đã được thông báo cho...

Gitlab vừa phát hành các phiên bản 15.7.2, 15.6.4 và 15.5.7 cho GitLab Community Edition (CE) và Enterprise Edition (EE). Các phiên bản này giải quyết các lỗi quan trọng và khuyến cáo người dùng nên nâng cấp càng sớm càng tốt. Để biết thêm thông tin, bạn có thể truy cập Câu hỏi thường gặp về...

Vào tháng 5, hãng bán lẻ Amazon đã vá một vấn lỗ hổng mật rất nghiêm trọng trong ứng dụng Ring dành cho Android. Lỗ hổng có thể cho phép cài đặt một ứng dụng độc hại trên thiết bị của người dùng và truy cập các bản ghi camera, thông tin nhạy cảm. Ứng dụng Ring này có hơn 10 triệu lượt tải...

Một số nhà nghiên cứu bảo mật tại Fortbridge đã khai thác thành công lỗ hổng cho phép thực thi mã từ xa (Remote Code Execution) và leo thang đặc quyền trên hệ thống thông qua một lỗ hổng Stored XSS. Nếu các bạn chưa biết, cPanel & WHN là một bộ công cụ phổ biến trên Linux cho phép tự động hoá...

Ứng dụng Slack tồn tại một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa (RCE). Khai thác thành công, kẻ tấn công có thể từ xa giành toàn quyền kiểm soát Slack dành cho Desktop - và từ đó truy cập vào các kênh riêng tư, các cuộc trò chuyện, mật khẩu, token, khóa cũng như các chức năng khác...