พบช่องโหว่บน Jetpack Plug-in ชื่อดังของ WordPress กว่าล้านเว็บไซต์ตกอยู่ในความเสี่ยง

wordpress_logo

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ช่องโหว่บน Jatpack Plugin

Jetpack เป็น Plug-in ยอดนิยมที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งเว็บไซต์ บริหารจัดการ และเพิ่มความมั่นคงปลอดภัยแก่ WordPress ได้ JetPack ถูกพัฒนาโดย Automattic บริษัทที่อยู่เบื้องหลัง WordPress.com และ WordPress Open-source Project โดยปัจจุบันนี้มีผู้ติดตั้งใช้งานกว่า 1,000,000 เว็บไซต์

โจมตี XSS เพื่อขโมยข้อมูลพิสูจ์ตัวตน

ช่องโหว่ XSS นี้เกิดบนโมดูล Shortcode Embeds ซึ่งช่วยให้ผู้ใช้สามารถฝังวิดีโอ รูปภาพ เอกสาร ทวีตข้อความ หรืออื่นๆ ลงบน Content ได้ แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการสอดแทรกโค้ด JavaScript แปลกปลอมเข้าไปยัง WordPress ผ่านทางช่อง Comment เมื่อผู้ใช้คนอื่นผ่านเข้ามายังหน้าเพจดังกล่าว โค้ดที่ฝังไว้จะถูกรันเพื่อขโมยข้อมูลพิสูจน์ตัวตนบนคุ๊กกี้ เปลี่ยนเส้นทางของผู้ใช้ไปยังเว็บไซต์ของแฮ็คเกอร์ หรือสอดแทรก SEO Spam ได้

เฉพาะ WordPress ที่มีการใช้โมดูล Shortcode Embeds จึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว (ซึ่งส่วนใหญ่จะเปิดใช้งาน) แนะนำผู้ที่ใช้ Jetpack ทุกท่านให้รีบอัพเดทเป็นเวอร์ชันล่าสุด 4.0.3 โดยเร็วเพื่ออุดช่องโหว่ให้เรียบร้อย สำหรับผู้ที่ไม่ต้องการอัพเดทแพทช์ล่าสุด Jetpack ได้ออกเวอร์ชันอื่นๆ มาอีก 21 เวอร์ชันด้วยกัน ได้แก่ 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 และ 4.0.3

ที่มา: http://www.networkworld.com/article/3076813/flaw-in-popular-wordpress-plug-in-jetpack-puts-over-a-million-websites-at-risk.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รัฐบาลจีนอนุมัติการเข้าซื้อกิจการ Xilinx ของ AMD แล้ว แต่มีเงื่อนไข

รัฐบาลจีนอนุมัติการเข้าซื้อกิจการ Xilinx ของ AMD แล้ว แต่มีเงื่อนไข

Microsoft เผยการยับยั้งการ DDoS ขนาด 3.47 Tbps ไว้ได้ด้วย Azure DDoS Protection

Microsoft ได้ออกมาเปิดเผยเหตุการณ์ที่แพลตฟอร์ม Azure DDoS Protection สามารถช่วยป้องกันการระดมโจมตีขนาด 3.47 Tbps เอาไว้