Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

พบช่องโหว่บน Jetpack Plug-in ชื่อดังของ WordPress กว่าล้านเว็บไซต์ตกอยู่ในความเสี่ยง

wordpress_logo

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ช่องโหว่บน Jatpack Plugin

Jetpack เป็น Plug-in ยอดนิยมที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งเว็บไซต์ บริหารจัดการ และเพิ่มความมั่นคงปลอดภัยแก่ WordPress ได้ JetPack ถูกพัฒนาโดย Automattic บริษัทที่อยู่เบื้องหลัง WordPress.com และ WordPress Open-source Project โดยปัจจุบันนี้มีผู้ติดตั้งใช้งานกว่า 1,000,000 เว็บไซต์

โจมตี XSS เพื่อขโมยข้อมูลพิสูจ์ตัวตน

ช่องโหว่ XSS นี้เกิดบนโมดูล Shortcode Embeds ซึ่งช่วยให้ผู้ใช้สามารถฝังวิดีโอ รูปภาพ เอกสาร ทวีตข้อความ หรืออื่นๆ ลงบน Content ได้ แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการสอดแทรกโค้ด JavaScript แปลกปลอมเข้าไปยัง WordPress ผ่านทางช่อง Comment เมื่อผู้ใช้คนอื่นผ่านเข้ามายังหน้าเพจดังกล่าว โค้ดที่ฝังไว้จะถูกรันเพื่อขโมยข้อมูลพิสูจน์ตัวตนบนคุ๊กกี้ เปลี่ยนเส้นทางของผู้ใช้ไปยังเว็บไซต์ของแฮ็คเกอร์ หรือสอดแทรก SEO Spam ได้

เฉพาะ WordPress ที่มีการใช้โมดูล Shortcode Embeds จึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว (ซึ่งส่วนใหญ่จะเปิดใช้งาน) แนะนำผู้ที่ใช้ Jetpack ทุกท่านให้รีบอัพเดทเป็นเวอร์ชันล่าสุด 4.0.3 โดยเร็วเพื่ออุดช่องโหว่ให้เรียบร้อย สำหรับผู้ที่ไม่ต้องการอัพเดทแพทช์ล่าสุด Jetpack ได้ออกเวอร์ชันอื่นๆ มาอีก 21 เวอร์ชันด้วยกัน ได้แก่ 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 และ 4.0.3

ที่มา: http://www.networkworld.com/article/3076813/flaw-in-popular-wordpress-plug-in-jetpack-puts-over-a-million-websites-at-risk.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เหตุ Ransomware ในโรงพยาบาลในเยอรมนีอาจเกี่ยวข้องกับการเสียชีวิตของผู้ป่วย

ทางการเยอรมนีกำลังตรวจสอบเหตุผู้ป่วยเสียชีวิตหลังจากที่โรงพยาบาลแห่งหนึ่งในเมือง Dusseldorf ถูกโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา

4 Session ห้ามพลาดกับ VMware Blockchain ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise Blockchain เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้