Cụ thể, lỗ hổng có mã định danh CVE-2024-43405 với điểm CVSS 7,4 ảnh hưởng đến tất cả các phiên bản của Nuclei từ 3.0.0 trở lên. Nuclei là một công cụ phổ biến, sử dụng các mẫu YAML để kiểm tra ứng dụng, hạ tầng, mạng và nền tảng đám mây nhằm phát hiện lỗ hổng bảo mật.
Lỗ hổng này bắt nguồn từ sự không nhất quán trong cách xử lý ký tự xuống dòng giữa quá trình xác minh chữ ký và trình phân tích YAML, đặc biệt khi xử lý nhiều chữ ký. Điều này tạo điều kiện cho kẻ tấn công chèn nội dung độc hại vào mẫu nhưng vẫn duy trì được chữ ký hợp lệ.
Lỗ hổng CVE-2024-43405 có thể bị khai thác để thực thi mã tùy ý, truy cập dữ liệu nhạy cảm từ hệ thống mục tiêu hoặc gây rò rỉ thông tin hoặc xâm phạm hệ thống.
Công ty công nghệ Wiz phát hiện ra lỗ hổng cảnh báo rằng quy trình xác minh chữ ký hiện tại của Nuclei là cách duy nhất được sử dụng để xác thực các mẫu. Điều này có nghĩa nếu quy trình này bị khai thác hoặc thất bại, toàn bộ hệ thống bảo mật dựa trên nó cũng sẽ bị phá vỡ, gây ra hậu quả nghiêm trọng cho toàn bộ hệ thống.
M.H
15:00 | 02/01/2025
10:00 | 11/12/2024
22:00 | 25/01/2025
16:00 | 30/10/2024
13:00 | 14/02/2025
Apple đã phát hành bản cập nhật khẩn cấp iOS 18.3.1 và iPadOS 18.3.1 cho người dùng iPhone, iPad để vá lỗ hổng zero-day CVE-2025-24200 có thể bị khai thác trong các cuộc tấn công đặc biệt tinh vi nhằm vào những người dùng cụ thể.
13:00 | 10/12/2024
Ngày 6/12, công ty mẹ của Facebook, Meta cho biết sẽ đầu tư 10 tỷ USD để xây dựng trung tâm dữ liệu AI tại Bang Louisiana (Mỹ).
08:00 | 15/11/2024
Microsoft vừa chính thức "tuyên chiến" với Google, cáo buộc đối thủ dàn dựng các chiến dịch bôi nhọ nhằm hạ uy tín hãng tại châu Âu. Vụ việc làm gia tăng căng thẳng giữa hai "gã khổng lồ" trong cuộc đua thống trị thị trường công nghệ.
07:00 | 07/11/2024
Vào ngày 25/10, các chuyên gia an ninh mạng của Viettel Cyber Security đã giành ngôi vô địch Pwn2Own 2024 diễn ra tại Ireland. Đây là sự kiện thường niên do Zero Day Initiative tổ chức, năm nay sự kiện đạt quy mô tổng giải thưởng trên 1 triệu USD, lớn nhất từng có.
TikTok tiếp tục khẳng định vị thế trên thị trường công nghệ với dự án đầu tư gần 3,8 tỷ USD cho trung tâm dữ liệu tại Thái Lan. Động thái này diễn ra trong bối cảnh hàng loạt "ông lớn" công nghệ toàn cầu cũng đang đổ xô vào xây dựng các dự án điện toán đám mây tại xứ sở chùa Vàng.
10:00 | 14/02/2025