Breaking News

พบช่องโหว่ร้ายแรงบน WordPress Plugin คาดกระทบกว่า 320,000 เว็บไซต์

มีการค้นพบช่องโหว่ของ WordPress Plugin 2 ตัวคือ InfiniteWP Client และ WP Time Capsule คาดว่ามีผู้ใช้งานในเว็บไซต์กว่า 320,000 แห่งจึงแนะนำให้ตรวจสอบและอัปเดต

InfiniteWP Client และ WP Time Capsule เอาไว้ใช้จัดการเว็บไซต์ WordPress ได้หลายแห่งจากเซิร์ฟเวอร์เดียว รวมถึงทำ Backup ไฟล์และฐานข้อมูลตอนอัปเดตเว็บ โดยผู้เชี่ยวชาญจาก WebArx พบว่า Plugin ทั้งคู่มีปัญหาระดับโลจิคัลในโค้ด ซึ่งทำให้สามารถล็อกอินบัญชีระดับผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน

ช่องโหว่บน InfiniteWP Client เวอร์ชันต่ำกว่า 1.9.4.5 คือสามารถส่ง POST Request กับ JSON และ Base64 Encoding เพื่อลัดผ่านการร้องขอรหัสผ่านได้ หากรู้เพียงแค่ชื่อบัญชีระดับแอดมิน ในขณะที่ WP Time Capsule เวอร์ชันต่ำกว่า 1.21.16 สามารถประดิษฐ์ String ใส่ใน POST Request เพื่อดึงเอาลิสต์ของบัญชีผู้ดูแลออกมาและล็อกอินด้วยบัญชีชื่อแรกได้ โดยทั้งสองมีผู้ใช้ราว 300,000 และ 20,000 รายตามลำดับ

อย่างไรก็ตามหลังจากได้รับแจ้งเจ้าของ Plugin ทั้งสองก็รีบอัปเดตตัวเองในวันถัดไป ดังนั้นผู้ที่ใช้งานต้องรีบแพตช์นะครับเพราะถือเป็นช่องโหว่ร้ายแรง โดย WebArx ชี้ว่าเป็นเรื่องยากที่จะป้องกันด้วย Firewall เนื่องจากหน้าตาของ Payload ดีและไม่ดีแทบไม่ต่างกัน

ที่มา :  https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix

นักวิจัยพบช่องโหว่หลายรายการใน Bluetooth Low Energy

กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy …