Lỗ hổng Joomla và LiteSpeed đang bị khai thác để tấn công

Các tác nhân đe dọa đang nhắm vào các lỗ hổng bảo mật trong Joomla và plugin LiteSpeed dành cho cPanel nhằm thực thi mã và leo thang đặc quyền.

Lỗ hổng trong Joomla Content Editor (JCE)

Lỗ hổng đầu tiên, được theo dõi dưới mã định danh CVE-2026-48907, ảnh hưởng đến Joomla Content Editor (JCE). Vấn đề này được mô tả là lỗi kiểm soát quyền truy cập không đúng cách, cho phép kẻ tấn công chưa được xác thực tải lên các hồ sơ trình chỉnh sửa.

Kẻ tấn công đang khai thác lỗi này để tải lên các tệp tin tùy ý lên máy chủ, dẫn đến việc thực thi mã PHP tùy ý. Tất cả các phiên bản JCE Pro trước 2.9.99.5 đều bị ảnh hưởng. Lỗi bảo mật này đã được khắc phục vào ngày 3 tháng 6, và các biện pháp bảo vệ bổ sung đã được đưa vào phiên bản 2.9.99.6 phát hành vào ngày 6 tháng 6.

Cuối tuần qua, Joomla đã kêu gọi người dùng cập nhật các triển khai của mình lên phiên bản mới nhất càng sớm càng tốt, cảnh báo rằng CVE-2026-48907 đang bị khai thác tích cực trong tự nhiên.

"Lỗ hổng này đang bị khai thác tích cực, mã khai thác hoạt động đã được công khai và các cuộc tấn công được tự động hóa, do đó một trang web không có đăng ký công khai cũng không an toàn," Joomla cảnh báo.

Họ cũng cung cấp các chỉ số bị xâm phạm (IoCs) để giúp quản trị viên trang web phát hiện các sự cố tiềm ẩn.

"Việc cập nhật sẽ đóng điểm nhập nhưng không làm sạch một trang web đã bị xâm phạm. Nếu bạn bị tấn công trước khi cập nhật, bản cập nhật sẽ không loại bỏ những gì kẻ tấn công để lại," Joomla cho biết.

Minh họa lỗ hổng bảo mật

Lỗ hổng trong plugin LiteSpeed cPanel

Plugin phía người dùng của LiteSpeed cho cPanel được phát hiện có lỗ hổng CVE-2026-54420, một lỗ hổng theo dõi liên kết tượng trưng (symlink) của UNIX.

Do xử lý symlink không đúng cách, người dùng có quyền truy cập FTP hoặc web shell có thể leo thang đặc quyền của họ lên root trên các máy chủ lưu trữ dùng chung chạy CloudLinux/CageFS.

Lỗi bảo mật này ảnh hưởng đến tất cả các phiên bản của plugin cPanel phía người dùng trước 2.4.8, phiên bản này được phát hành vào ngày 1 tháng 6, và đã bị khai thác trong tự nhiên kể từ tháng 5.

Người dùng LiteSpeed được khuyên nên cập nhật các triển khai của mình ngay lập tức và sử dụng lệnh do người bảo trì cung cấp để kiểm tra xem máy chủ của họ có bị xâm phạm hay không.

Cảnh báo từ CISA

Tuần này, Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm các lỗi LiteSpeed và Joomla vào danh mục Lỗ hổng đang bị khai thác (KEV), kêu gọi các cơ quan liên bang vá lỗi này trước ngày 18 tháng 6 và 19 tháng 6 tương ứng.

Theo BOD 26-04 của CISA, các điểm yếu bảo mật yêu cầu vá lỗi ngay lập tức gây ra rủi ro cao nhất đối với các cơ quan liên bang, vì chúng có thể bị lạm dụng trong các cuộc tấn công tự động hóa có thể dẫn đến việc chiếm đoạt tài sản.