Joomla ออกแพทช์อุดช่องโหว่ LDAP Injection อายุนานกว่า 8 ปี

Joomla ระบบ CMS ชื่อดัง ได้ออกแพทช์อุดช่องโหว่ LDAP Injection ที่มีอายุนานกว่า 8 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัญชีและรหัสผ่านของผู้ใช้และเข้าควบคุมเว็บไซต์ทั้งหมดได้ แนะนำให้ผู้ดูแลเว็บอัปเดตแพทช์ล่าสุดทันที

Credit: Joomla

ช่องโหว่ที่ค้นพบนี้มีรหัส CVE-2017-14596 เป็นช่องโหว่บน LDAP Authentication Plugin ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลชื่อบัญชีผู้ใช้และรหัสผ่านออกจาก LDAP Server ไปได้ ถึงแม้ว่า Joomla จะให้คะแนนความรุนแรงเป็น Medium แต่นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies ระบุว่า ปัญหานี้อาจใกล้เคียงกับความรุนแรงระดับ Critical ได้เลยทีเดียว

ทีมนักวิจัยระบุใน Blog ว่า ช่องโหว่นี้เป็นช่องโหว่ LDAP Injection บน Plugin ที่คอยควบคุมการล็อกอิน ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลรหัสผ่านของ Super User โดยใช้เทคนิค Blind Injection ได้ รวมไปถึงเข้าควบคุมระบบ Joomla ได้ภายในเวลาไม่กี่วินาที ที่สำคัญคือแฮ็คเกอร์ไม่จำเป็นต้องใช้สิทธิ์ระดับสูงในการโจมตีช่องโหว่ดังกล่าว และช่องโหว่นี้มีอายุนานถึง 8 ปีโดยที่ไม่มีใครค้นพบมาก่อน

ช่องโหว่ LDAP Injection นี้ส่งผลกระทบต่อ Joomla เวอร์ชัน 1.5.0 ถึง 3.7.5 จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่ามีการโจมตีผ่านช่องโหว่ดังกล่าวแล้วหรือไม่ แนะนำใช้ผู้ดูแลเว็บอัปเดตแพทช์เวอร์ชัน 3.8 โดยเร็ว

รายละเอียดเพิ่มเติม: https://developer.joomla.org/security-centre/711-20170902-core-ldap-information-disclosure

ที่มา: http://www.zdnet.com/article/joomla-patches-eight-year-old-critical-cms-bug/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …