An ninh mạng

CISA cảnh báo lỗ hổng nghiêm trọng trên Joomla JCE đang bị khai thác thực tế

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa lỗ hổng CVE-2026-48907 trên Joomla Content Editor vào danh mục các lỗ hổng đang bị khai thác tích cực.

Nguyen Hung
17 Tháng 6, 2026 2 Min Read
1 0

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa chính thức đưa một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến tiện ích mở rộng Joomla Content Editor (JCE) của Widget Factory vào danh mục Các lỗ hổng đã biết bị khai thác (KEV). Động thái này được đưa ra sau khi cơ quan này ghi nhận các bằng chứng cho thấy lỗ hổng đang bị tin tặc lợi dụng trong các cuộc tấn công thực tế.

Chi tiết về lỗ hổng CVE-2026-48907

Lỗ hổng này được định danh là CVE-2026-48907 với điểm CVSS tuyệt đối là 10.0. Đây là lỗi kiểm soát truy cập không đúng cách, cho phép kẻ tấn công thực thi mã PHP tùy ý. Cụ thể, lỗ hổng cho phép người dùng không cần xác thực tạo các hồ sơ biên tập viên (editor profiles) mới, từ đó mở đường cho việc tải lên và thực thi mã độc trên server.

Các phiên bản JCE từ 1.0.0 đến 2.9.99.4 đều chịu ảnh hưởng. Nhà phát triển Widget Factory đã phát hành bản vá trong phiên bản 2.9.99.5 vào ngày 3 tháng 6 năm 2026. CISA đã yêu cầu các cơ quan chính phủ liên bang phải áp dụng bản cập nhật này trước ngày 19 tháng 6 năm 2026.

Làn sóng tấn công vào các trang web WordPress

Bên cạnh lỗ hổng trên Joomla, các chuyên gia bảo mật cũng cảnh báo về những chiến dịch tấn công chuỗi cung ứng nhắm vào các plugin WordPress phổ biến như OptinMonster, TrustPulse và PushEngage. Tin tặc đã thực hiện chèn mã JavaScript độc hại để tạo tài khoản quản trị viên cửa sau (backdoor) và cài đặt các plugin ẩn danh nhằm duy trì quyền truy cập.

Trong một chiến dịch khác, kẻ tấn công đã xâm nhập vào các trang web WordPress để nhúng một plugin giả mạo có tên “Beloved PBN Entegrasyonu”. Plugin này hoạt động như một công cụ beaconing, gửi URL của trang web đến một API bên ngoài và chèn mã HTML hoặc JavaScript độc hại vào phần chân trang (footer). Các payload này được lưu trữ trực tiếp trong cơ sở dữ liệu (bảng wp_posts), cho phép kẻ tấn công thực thi các lệnh đọc/ghi file trên toàn bộ hệ thống server mà không cần xác thực.

Theo các nhà nghiên cứu từ Sucuri, chiến dịch này chủ yếu nhắm vào việc thao túng thứ hạng SEO thông qua việc chèn các liên kết ẩn (backlink) phục vụ cho mạng lưới blog cá nhân (PBN), thường liên quan đến các lĩnh vực cá cược hoặc nội dung người lớn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept