พบช่องโหว่บน Jetpack Plug-in ชื่อดังของ WordPress กว่าล้านเว็บไซต์ตกอยู่ในความเสี่ยง

wordpress_logo

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ช่องโหว่บน Jatpack Plugin

Jetpack เป็น Plug-in ยอดนิยมที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งเว็บไซต์ บริหารจัดการ และเพิ่มความมั่นคงปลอดภัยแก่ WordPress ได้ JetPack ถูกพัฒนาโดย Automattic บริษัทที่อยู่เบื้องหลัง WordPress.com และ WordPress Open-source Project โดยปัจจุบันนี้มีผู้ติดตั้งใช้งานกว่า 1,000,000 เว็บไซต์

โจมตี XSS เพื่อขโมยข้อมูลพิสูจ์ตัวตน

ช่องโหว่ XSS นี้เกิดบนโมดูล Shortcode Embeds ซึ่งช่วยให้ผู้ใช้สามารถฝังวิดีโอ รูปภาพ เอกสาร ทวีตข้อความ หรืออื่นๆ ลงบน Content ได้ แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการสอดแทรกโค้ด JavaScript แปลกปลอมเข้าไปยัง WordPress ผ่านทางช่อง Comment เมื่อผู้ใช้คนอื่นผ่านเข้ามายังหน้าเพจดังกล่าว โค้ดที่ฝังไว้จะถูกรันเพื่อขโมยข้อมูลพิสูจน์ตัวตนบนคุ๊กกี้ เปลี่ยนเส้นทางของผู้ใช้ไปยังเว็บไซต์ของแฮ็คเกอร์ หรือสอดแทรก SEO Spam ได้

เฉพาะ WordPress ที่มีการใช้โมดูล Shortcode Embeds จึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว (ซึ่งส่วนใหญ่จะเปิดใช้งาน) แนะนำผู้ที่ใช้ Jetpack ทุกท่านให้รีบอัพเดทเป็นเวอร์ชันล่าสุด 4.0.3 โดยเร็วเพื่ออุดช่องโหว่ให้เรียบร้อย สำหรับผู้ที่ไม่ต้องการอัพเดทแพทช์ล่าสุด Jetpack ได้ออกเวอร์ชันอื่นๆ มาอีก 21 เวอร์ชันด้วยกัน ได้แก่ 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 และ 4.0.3

ที่มา: http://www.networkworld.com/article/3076813/flaw-in-popular-wordpress-plug-in-jetpack-puts-over-a-million-websites-at-risk.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้