พบช่องโหว่บน Jetpack Plug-in ชื่อดังของ WordPress กว่าล้านเว็บไซต์ตกอยู่ในความเสี่ยง

wordpress_logo

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Sucuri บริษัทชั้นนำทางด้าน Web Security ออกมาเปิดเผยช่องโหว่ Cross-site Scripting (XSS) บน Jetpack Plug-in ชื่อดังบน WordPress ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งโค้ดแปลกปลอมผ่านเข้ามาทางช่อง Comment ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ช่องโหว่บน Jatpack Plugin

Jetpack เป็น Plug-in ยอดนิยมที่ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งเว็บไซต์ บริหารจัดการ และเพิ่มความมั่นคงปลอดภัยแก่ WordPress ได้ JetPack ถูกพัฒนาโดย Automattic บริษัทที่อยู่เบื้องหลัง WordPress.com และ WordPress Open-source Project โดยปัจจุบันนี้มีผู้ติดตั้งใช้งานกว่า 1,000,000 เว็บไซต์

โจมตี XSS เพื่อขโมยข้อมูลพิสูจ์ตัวตน

ช่องโหว่ XSS นี้เกิดบนโมดูล Shortcode Embeds ซึ่งช่วยให้ผู้ใช้สามารถฝังวิดีโอ รูปภาพ เอกสาร ทวีตข้อความ หรืออื่นๆ ลงบน Content ได้ แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการสอดแทรกโค้ด JavaScript แปลกปลอมเข้าไปยัง WordPress ผ่านทางช่อง Comment เมื่อผู้ใช้คนอื่นผ่านเข้ามายังหน้าเพจดังกล่าว โค้ดที่ฝังไว้จะถูกรันเพื่อขโมยข้อมูลพิสูจน์ตัวตนบนคุ๊กกี้ เปลี่ยนเส้นทางของผู้ใช้ไปยังเว็บไซต์ของแฮ็คเกอร์ หรือสอดแทรก SEO Spam ได้

เฉพาะ WordPress ที่มีการใช้โมดูล Shortcode Embeds จึงจะได้รับผลกระทบต่อช่องโหว่ดังกล่าว (ซึ่งส่วนใหญ่จะเปิดใช้งาน) แนะนำผู้ที่ใช้ Jetpack ทุกท่านให้รีบอัพเดทเป็นเวอร์ชันล่าสุด 4.0.3 โดยเร็วเพื่ออุดช่องโหว่ให้เรียบร้อย สำหรับผู้ที่ไม่ต้องการอัพเดทแพทช์ล่าสุด Jetpack ได้ออกเวอร์ชันอื่นๆ มาอีก 21 เวอร์ชันด้วยกัน ได้แก่ 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 และ 4.0.3

ที่มา: http://www.networkworld.com/article/3076813/flaw-in-popular-wordpress-plug-in-jetpack-puts-over-a-million-websites-at-risk.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ