พบช่องโหว่ร้ายแรงในปลั๊กอิน Really Simple Security สำหรับ WordPress

ช่องโหว่การยืนยันตัวตนที่มีความรุนแรงสูง ถูกค้นพบในปลั๊กอิน Really Simple Security ทั้งเวอร์ชันฟรีและ Pro ส่งผลกระทบต่อเว็บไซต์ WordPress กว่า 4 ล้านเว็บ

ช่องโหว่ดังกล่าวมีรหัส CVE-2024-10924 มีความรุนแรงระดับ Critical ถูกค้นพบโดยนักวิจัยด้านความมั่นคงปลอดภัยจาก Wordfence เมื่อวันที่ 6 พฤศจิกายน 2024 สาเหตุเกิดจากการจัดการการยืนยันตัวตนผู้ใช้งานที่ไม่เหมาะสมในส่วน Two-factor REST API ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งานใดๆ รวมถึงบัญชีผู้ดูแลระบบได้โดยไม่ต้องยืนยันตัวตน โดยปัญหานี้จะเกิดขึ้นเมื่อเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (2FA)

ผู้พัฒนาได้แก้ไขช่องโหว่นี้แล้วในเวอร์ชัน 9.1.2 ซึ่งเปิดตัวเมื่อวันที่ 12 พฤศจิกายน สำหรับเวอร์ชัน Pro และวันที่ 14 พฤศจิกายนสำหรับเวอร์ชันฟรี อย่างไรก็ตาม จากสถิติของ WordPress.org พบว่ามีการอัปเดตเพียง 450,000 ครั้ง ทำให้ยังมีเว็บไซต์ที่มีความเสี่ยงอีกกว่า 3.5 ล้านเว็บ ผู้ดูแลระบบควรตรวจสอบและอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video Webinar] พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Splunk & Cisco Webinar เรื่อง “พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Google ทุ่มกว่าพันล้านดอลลาร์ให้ Anthropic คู่แข่ง OpenAI

มีรายงานจาก Financial Times ว่า Google ได้ลงทุนมากกว่า 1 พันล้านดอลลาร์ใน Anthropic โดยเพิ่มจากเดิมที่บริษัทได้สนับสนุนเงินทุนไปแล้วก่อนหน้านี้ 2 พันล้านดอลลาร์ และเพิ่มจากรายงานก่อนหน้านี้ว่า Anthropic กำลังระดมทุนอีก …