CDIC 2023

พบช่องโหว่ร้ายแรงบน WordPress Plugin คาดกระทบกว่า 320,000 เว็บไซต์

มีการค้นพบช่องโหว่ของ WordPress Plugin 2 ตัวคือ InfiniteWP Client และ WP Time Capsule คาดว่ามีผู้ใช้งานในเว็บไซต์กว่า 320,000 แห่งจึงแนะนำให้ตรวจสอบและอัปเดต

InfiniteWP Client และ WP Time Capsule เอาไว้ใช้จัดการเว็บไซต์ WordPress ได้หลายแห่งจากเซิร์ฟเวอร์เดียว รวมถึงทำ Backup ไฟล์และฐานข้อมูลตอนอัปเดตเว็บ โดยผู้เชี่ยวชาญจาก WebArx พบว่า Plugin ทั้งคู่มีปัญหาระดับโลจิคัลในโค้ด ซึ่งทำให้สามารถล็อกอินบัญชีระดับผู้ดูแลได้โดยไม่ต้องมีรหัสผ่าน

ช่องโหว่บน InfiniteWP Client เวอร์ชันต่ำกว่า 1.9.4.5 คือสามารถส่ง POST Request กับ JSON และ Base64 Encoding เพื่อลัดผ่านการร้องขอรหัสผ่านได้ หากรู้เพียงแค่ชื่อบัญชีระดับแอดมิน ในขณะที่ WP Time Capsule เวอร์ชันต่ำกว่า 1.21.16 สามารถประดิษฐ์ String ใส่ใน POST Request เพื่อดึงเอาลิสต์ของบัญชีผู้ดูแลออกมาและล็อกอินด้วยบัญชีชื่อแรกได้ โดยทั้งสองมีผู้ใช้ราว 300,000 และ 20,000 รายตามลำดับ

อย่างไรก็ตามหลังจากได้รับแจ้งเจ้าของ Plugin ทั้งสองก็รีบอัปเดตตัวเองในวันถัดไป ดังนั้นผู้ที่ใช้งานต้องรีบแพตช์นะครับเพราะถือเป็นช่องโหว่ร้ายแรง โดย WebArx ชี้ว่าเป็นเรื่องยากที่จะป้องกันด้วย Firewall เนื่องจากหน้าตาของ Payload ดีและไม่ดีแทบไม่ต่างกัน

ที่มา :  https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ลือ Huawei อาจทำลายกำแพงการผลิตชิป 5nm สำเร็จ เริ่มเผยสเป็ค Laptop รุ่นใหม่ใช้ชิปเทคโนโลยี 5nm แล้ว

ท่ามกลางกระแสการโดนแบนทางด้านเทคโนโลยีจากสหรัฐอเมริกา ทำให้เหล่าบริษัทเทคโนโลยีของจีนต้องเร่งพัฒนาเทคโนโลยีการผลิตชิปของตนเองขึ้นมา และล่าสุดก็มีข่าวว่า Huawei และ SMIC นั้นได้เตรียมเปิดตัวผลิตภัณฑ์ที่ใช้ชิป 5nm ที่ผลิตเองในจีนแล้ว ทำให้จีนตามหลังสหรัฐอเมริกาด้านเทคโนโลยีการผลิตชิปเพียงแค่ 3 ปีเท่านั้น

NETAND ตอกย้ำความมุ่งมั่นต่อประเทศไทย เดินหน้าสร้างพันธมิตรทางธุรกิจในประเทศ [Guest Post]

ผู้ให้บริการโซลูชัน PAM และ IM นำเสนอการปกป้องความปลอดภัยทางไซเบอร์สำหรับธุรกิจขนาดเล็ก และขนาดกลาง