Black Hat Asia 2023

พบช่องโหว่ร้ายแรงบน WordPress Plugin คาดกระทบกว่า 320,000 เว็บไซต์

มีการค้นพบช่องโหว่ของ WordPress Plugin 2 ตัวคือ InfiniteWP Client และ WP Time Capsule คาดว่ามีผู้ใช้งานในเว็บไซต์กว่า 320,000 แห่งจึงแนะนำให้ตรวจสอบและอัปเดต

InfiniteWP Client และ WP Time Capsule เอาไว้ใช้จัดการเว็บไซต์ WordPress ได้หลายแห่งจากเซิร์ฟเวอร์เดียว รวมถึงทำ Backup ไฟล์และฐานข้อมูลตอนอัปเดตเว็บ โดยผู้เชี่ยวชาญจาก WebArx พบว่า Plugin ทั้งคู่มีปัญหาระดับโลจิคัลในโค้ด ซึ่งทำให้สามารถล็อกอินบัญชีระดับผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน

ช่องโหว่บน InfiniteWP Client เวอร์ชันต่ำกว่า 1.9.4.5 คือสามารถส่ง POST Request กับ JSON และ Base64 Encoding เพื่อลัดผ่านการร้องขอรหัสผ่านได้ หากรู้เพียงแค่ชื่อบัญชีระดับแอดมิน ในขณะที่ WP Time Capsule เวอร์ชันต่ำกว่า 1.21.16 สามารถประดิษฐ์ String ใส่ใน POST Request เพื่อดึงเอาลิสต์ของบัญชีผู้ดูแลออกมาและล็อกอินด้วยบัญชีชื่อแรกได้ โดยทั้งสองมีผู้ใช้ราว 300,000 และ 20,000 รายตามลำดับ

อย่างไรก็ตามหลังจากได้รับแจ้งเจ้าของ Plugin ทั้งสองก็รีบอัปเดตตัวเองในวันถัดไป ดังนั้นผู้ที่ใช้งานต้องรีบแพตช์นะครับเพราะถือเป็นช่องโหว่ร้ายแรง โดย WebArx ชี้ว่าเป็นเรื่องยากที่จะป้องกันด้วย Firewall เนื่องจากหน้าตาของ Payload ดีและไม่ดีแทบไม่ต่างกัน

ที่มา :  https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์