Đáng chú ý, lỗ hổng được theo dõi có định danh CVE-2024-29241 với điểm CVSS là 9.9 được đánh giá mức độ nghiêm trọng. Lỗ hổng này xảy ra do thiếu xác thực trong thành phần System webapi, có thể cho phép người dùng chưa được xác thực hoàn toàn vượt qua các giải pháp bảo mật. Điều này có thể dẫn đến việc người dùng trái phép truy cập vào hệ thống mà không cần xác thực đúng.
Cùng với đó, hai lỗ hổng khác được định danh là CVE-2024-29228 và CVE-2024-29229 đều có điểm CVSS là 7,7, liên quan đến việc thiếu xác thực trong các thành phần webapi GetStmUrlPath và GetLiveViewPath của phần mềm Surveillance Station.
Hai lỗ hổng trên có thể cho phép người dùng chưa được xác thực từ xa truy cập vào thông tin nhạy cảm thông qua các vector không xác định. Có thể cho phép kẻ tấn công có thể xâm nhập hệ thống và truy cập vào dữ liệu quan trọng mà không cần xác thực đúng.
Bên cạnh đó, một loạt các lỗ hổng SQL Injection đều có điểm CVSS là 5.4 đã được xác định trong các thành phần khác nhau, bao gồm Layout.LayoutSave, SnapShot.CountByCategory và Alert.Enum, và nhiều thành phần khác. Những lỗ hổng này khiến hệ thống dễ bị tấn công SQL command injection từ người dùng từ xa đã được xác thực, bằng cách lợi dụng việc không loại bỏ đúng các thành phần đặc biệt trong lệnh SQL.
Synology đã phát hành các bản vá (dành cho phần mềm phiên bản Surveillance Station 9.2.0-11289 trở lên) và khuyến cáo người dùng cập nhật ngay lập tức để tăng cường bảo mật và giảm thiểu các rủi ro đáng tiếc.
M.H
15:00 | 16/04/2024
09:00 | 06/03/2024
08:00 | 17/04/2024
10:00 | 28/03/2024
09:00 | 03/05/2024
09:00 | 01/04/2024
14:00 | 04/05/2024
15:00 | 02/01/2025
Fortinet vừa đưa ra cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm của hãng bao gồm FortiClient VPN, FortiManager và FortiWLM. Những lỗ hổng này có thể dẫn đến rò rỉ mật khẩu, thực thi mã từ xa và truy cập tệp trái phép khiến hàng triệu người dùng gặp rủi ro.
10:00 | 31/12/2024
Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.
13:00 | 25/12/2024
Ngày 20/12,Giám đốc điều hành OpenAI Sam Altman thông báo công ty đang thử nghiệm các mô hình trí tuệ nhân tạo (AI) mới có khả năng suy luận tốt hơn, qua đó tăng khả năng cạnh tranh với các đối thủ khác.
07:00 | 07/11/2024
Vào ngày 25/10, các chuyên gia an ninh mạng của Viettel Cyber Security đã giành ngôi vô địch Pwn2Own 2024 diễn ra tại Ireland. Đây là sự kiện thường niên do Zero Day Initiative tổ chức, năm nay sự kiện đạt quy mô tổng giải thưởng trên 1 triệu USD, lớn nhất từng có.
Ngày 16/01, tại Hội thảo Phát triển Trung tâm tài chính quốc tế tại Việt Nam tổ chức tại TP Đà Nẵng, Uỷ ban Nhân dân (UBND) TP Đà Nẵng cùng Hiệp hội Blockchain Việt Nam (VBA) đã ký Hợp tác Phát triển Trung tâm tài chính quốc tế tại TP Đà Nẵng.
15:00 | 23/01/2025