Breaking News

พบช่องโหว่บน Jetpack Plug-in ชื่อดังของ WordPress กว่าล้านเว็บไซต์ตกอยู่ในความเสี่ยง

wordpress_logo

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ช่องโหว่บน Jatpack Plugin

Jetpack เป็น Plug-in ยอดนิยมที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งเว็บไซต์ บริหารจัดการ และเพิ่มความมั่นคงปลอดภัยแก่ WordPress ได้ JetPack ถูกพัฒนาโดย Automattic บริษัทที่อยู่เบื้องหลัง WordPress.com และ WordPress Open-source Project โดยปัจจุบันนี้มีผู้ติดตั้งใช้งานกว่า 1,000,000 เว็บไซต์

โจมตี XSS เพื่อขโมยข้อมูลพิสูจ์ตัวตน

ช่องโหว่ XSS นี้เกิดบนโมดูล Shortcode Embeds ซึ่งช่วยให้ผู้ใช้สามารถฝังวิดีโอ รูปภาพ เอกสาร ทวีตข้อความ หรืออื่นๆ ลงบน Content ได้ แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการสอดแทรกโค้ด JavaScript แปลกปลอมเข้าไปยัง WordPress ผ่านทางช่อง Comment เมื่อผู้ใช้คนอื่นผ่านเข้ามายังหน้าเพจดังกล่าว โค้ดที่ฝังไว้จะถูกรันเพื่อขโมยข้อมูลพิสูจน์ตัวตนบนคุ๊กกี้ เปลี่ยนเส้นทางของผู้ใช้ไปยังเว็บไซต์ของแฮ็คเกอร์ หรือสอดแทรก SEO Spam ได้

เฉพาะ WordPress ที่มีการใช้โมดูล Shortcode Embeds จึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว (ซึ่งส่วนใหญ่จะเปิดใช้งาน) แนะนำผู้ที่ใช้ Jetpack ทุกท่านให้รีบอัพเดทเป็นเวอร์ชันล่าสุด 4.0.3 โดยเร็วเพื่ออุดช่องโหว่ให้เรียบร้อย สำหรับผู้ที่ไม่ต้องการอัพเดทแพทช์ล่าสุด Jetpack ได้ออกเวอร์ชันอื่นๆ มาอีก 21 เวอร์ชันด้วยกัน ได้แก่ 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 และ 4.0.3

ที่มา: http://www.networkworld.com/article/3076813/flaw-in-popular-wordpress-plug-in-jetpack-puts-over-a-million-websites-at-risk.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนา Age of Data Privacy, Trust & Security โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Bay Cybersecurity Day 2019 ภายใต้ธีม Age of Data Privacy, Trust & …

VMUG Webinar: พบกับคุณสมบัติใหม่ใน และประสิทธิภาพการตอบสนองที่เร็วขึ้นใน vSAN 6.7 Update 3 โดย VMware

VMware User Group Thailand ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT, Cloud Engineer, System Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "พบกับคุณสมบัติใหม่ใน และประสิทธิภาพการตอบสนองที่เร็วขึ้นใน vSAN 6.7 Update 3 โดย VMware" เพื่อทำความรู้จักกับความสามารถใหม่ๆ บน VMware vSAN 6.7 Update 3 ที่เป็นหัวใจของระบบ Hyper-Converged Infrastructure หรือ HCI ซึ่งสามารถทำงานร่วมกับ Kubernetes ได้แล้วแบบเจาะลึกกันโดยทีมงาน VMware โดยตรง ในวันจันทร์ที่ 23 กันยายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้