CDIC 2023

พบช่องโหว่ใหม่บน WordPress Plugin อาจทำให้ถูกเจาะขโมยข้อมูลได้

พบช่องโหว่บน Google Web Stories plugin สำหรับ WordPress ที่ทำให้สามารถขโมยข้อมูลได้ในระดับ AWS Metadata

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Wordfence research team พบช่องโหว่ใหม่บน Google Web Stories plugin สำหรับ WordPress ในเวอร์ชัน 1.24.0 โดยเป็นช่องโหว่แบบ Server-side request forgery (SSRF) มีรหัส CVE-2022-3708 ทำให้ผู้โจมตีสามารถปลอมแปลง request เพื่อทำการเข้าถึงข้อมูลได้ โดยจากการทดสอบพบว่าสามารถเข้าถึงข้อมูลได้ในระดับของ Amazon Web Services (AWS) metadata เช่น AccessKeyId, SecretAccessKey และ Token ทำให้สามารถขโมยข้อมูล EC2 Instance หรือขโมยข้อมูล log in credential ออกไป เพื่อใช้ในการเข้าถึง VM และรันคำสั่งผ่าน Terminal ได้

ปัจจุบันมีการใช้งาน Google Web Stories plugin อยู่ในเว็บไซต์กว่า 100,000 แห่ง โดยผู้ที่ใช้งานอยู่สามารถอัปเดตไปเป็นเวอร์ชัน 1.25.0 ได้แล้วเพื่ออุดช่องโหว่นี้

ที่ผ่านมามีเหตุการณ์ช่องโหว่ของ WordPress Plugin เกิดขึ้นหลายครั้ง เช่น ในเดือนกุมภาพันธ์ พบการโจมตีแบบ Remote Code Execution (RCE) ผ่านทาง Plugin Essential Addons for Elementor, เดือนพฤษภาคม พบช่องโหว่ RCE ใน Plugin Tatsu Builder และเดือนกันยายนที่ผ่านมา พบการโจมตีผ่านทาง Plugin BackupBuddy ที่ตรวจพบการโจมตีมากกว่า 5 ล้านครั้ง

ที่มา: https://www.darkreading.com/vulnerabilities-threats/google-wordpress-plugin-bug-aws-metadata-theft


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[รีวิว] Acer Swift Go 16 ตอบโจทย์การใช้งานธุรกิจ เบา บาง พร้อมพกพาทุกสถานการณ์

ปัจจุบันการทำงานอย่างอิสระจากสถานที่ต่างๆ ถือเป็นวัฒนธรรมของหลายองค์กรไปแล้ว หลังจากการปรับตัวครั้งใหญ่จากการมาถึงของการแพร่ระบาด โดยปัจจัยหลักที่ผู้คนมักมองหาเป็นอันดับแรกก็คือสเป็คการประมวลผลที่รวดเร็ว ตอบโจทย์การใช้งานอย่างหลากหลาย หากมีหน้าจอใหญ่แต่ยังรักษาความเบาไว้ได้ยิ่งดี เพราะให้ประสบการณ์ความบันเทิงและการทำงานที่มีประสิทธิภาพมากกว่า ทีมงาน TechTalkThai ได้มีโอกาสรีวิวสินค้าจากค่าย Acer ซึ่งถูกออกแบบมาด้วยคุณสมบัติข้างต้น ในราคาย่อมเยาว์ โดยโน๊คบุ๊คตัวนี้ก็คือ Acer …

Raceku Webinar: Biggest Trends and Challenges Reshaping the Future of Service Industry

IFS ร่วมกับ Raceku Thai ขอเรียนเชิญผู้ประกอบการธุรกิจ รวมถึงผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมงานสัมมนาออนไลน์เรื่อง “Biggest Trends and Challenges Reshaping the Future …