พบช่องโหว่ใหม่บน WordPress Plugin อาจทำให้ถูกเจาะขโมยข้อมูลได้

พบช่องโหว่บน Google Web Stories plugin สำหรับ WordPress ที่ทำให้สามารถขโมยข้อมูลได้ในระดับ AWS Metadata

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Wordfence research team พบช่องโหว่ใหม่บน Google Web Stories plugin สำหรับ WordPress ในเวอร์ชัน 1.24.0 โดยเป็นช่องโหว่แบบ Server-side request forgery (SSRF) มีรหัส CVE-2022-3708 ทำให้ผู้โจมตีสามารถปลอมแปลง request เพื่อทำการเข้าถึงข้อมูลได้ โดยจากการทดสอบพบว่าสามารถเข้าถึงข้อมูลได้ในระดับของ Amazon Web Services (AWS) metadata เช่น AccessKeyId, SecretAccessKey และ Token ทำให้สามารถขโมยข้อมูล EC2 Instance หรือขโมยข้อมูล log in credential ออกไป เพื่อใช้ในการเข้าถึง VM และรันคำสั่งผ่าน Terminal ได้

ปัจจุบันมีการใช้งาน Google Web Stories plugin อยู่ในเว็บไซต์กว่า 100,000 แห่ง โดยผู้ที่ใช้งานอยู่สามารถอัปเดตไปเป็นเวอร์ชัน 1.25.0 ได้แล้วเพื่ออุดช่องโหว่นี้

ที่ผ่านมามีเหตุการณ์ช่องโหว่ของ WordPress Plugin เกิดขึ้นหลายครั้ง เช่น ในเดือนกุมภาพันธ์ พบการโจมตีแบบ Remote Code Execution (RCE) ผ่านทาง Plugin Essential Addons for Elementor, เดือนพฤษภาคม พบช่องโหว่ RCE ใน Plugin Tatsu Builder และเดือนกันยายนที่ผ่านมา พบการโจมตีผ่านทาง Plugin BackupBuddy ที่ตรวจพบการโจมตีมากกว่า 5 ล้านครั้ง

ที่มา: https://www.darkreading.com/vulnerabilities-threats/google-wordpress-plugin-bug-aws-metadata-theft

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

Dynatrace เปิดตัว ‘Observability for Developer’

Observability for Developer เป็นโซลูชันใหม่ล่าสุดที่ Dynatrace นำเสนอเพื่อช่วยงานนักพัฒนาให้แก้ไขปัญหาได้อย่างรวดเร็วมากขึ้น