IBM Flashsystem

พบช่องโหว่ใหม่บน WordPress Plugin อาจทำให้ถูกเจาะขโมยข้อมูลได้

พบช่องโหว่บน Google Web Stories plugin สำหรับ WordPress ที่ทำให้สามารถขโมยข้อมูลได้ในระดับ AWS Metadata

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Wordfence research team พบช่องโหว่ใหม่บน Google Web Stories plugin สำหรับ WordPress ในเวอร์ชัน 1.24.0 โดยเป็นช่องโหว่แบบ Server-side request forgery (SSRF) มีรหัส CVE-2022-3708 ทำให้ผู้โจมตีสามารถปลอมแปลง request เพื่อทำการเข้าถึงข้อมูลได้ โดยจากการทดสอบพบว่าสามารถเข้าถึงข้อมูลได้ในระดับของ Amazon Web Services (AWS) metadata เช่น AccessKeyId, SecretAccessKey และ Token ทำให้สามารถขโมยข้อมูล EC2 Instance หรือขโมยข้อมูล log in credential ออกไป เพื่อใช้ในการเข้าถึง VM และรันคำสั่งผ่าน Terminal ได้

ปัจจุบันมีการใช้งาน Google Web Stories plugin อยู่ในเว็บไซต์กว่า 100,000 แห่ง โดยผู้ที่ใช้งานอยู่สามารถอัปเดตไปเป็นเวอร์ชัน 1.25.0 ได้แล้วเพื่ออุดช่องโหว่นี้

ที่ผ่านมามีเหตุการณ์ช่องโหว่ของ WordPress Plugin เกิดขึ้นหลายครั้ง เช่น ในเดือนกุมภาพันธ์ พบการโจมตีแบบ Remote Code Execution (RCE) ผ่านทาง Plugin Essential Addons for Elementor, เดือนพฤษภาคม พบช่องโหว่ RCE ใน Plugin Tatsu Builder และเดือนกันยายนที่ผ่านมา พบการโจมตีผ่านทาง Plugin BackupBuddy ที่ตรวจพบการโจมตีมากกว่า 5 ล้านครั้ง

ที่มา: https://www.darkreading.com/vulnerabilities-threats/google-wordpress-plugin-bug-aws-metadata-theft

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Palo Alto Networks พร้อมสู้ศึกภัยคุกคามไซเบอร์เสริมพลัง AI ด้วย AI

AI มักถูกพูดถึงในด้านการสร้างประโยชน์จากข้อมูลให้ฝั่งธุรกิจ หรือการช่วยเพิ่มประสิทธิภาพในการทำงานของบุคคลทั่วไป อย่างไรก็ตามเหรียญมักมีสองด้านเสมอ ซึ่งที่งาน IGNITE on Tour ณ กรุงเทพฯ ประเทศไทย Palo Alto Networks ได้ชี้ให้ผู้เข้าร่วมเห็นว่า …

สกมช. และพาโล อัลโต้ เน็ตเวิร์กส์ ประกาศความร่วมมือเชิงยุทธศาสตร์ ในการสร้าง Cloud First Policy Framework [Press Release]

พาโล อัลโต้ เน็ตเวิร์กส์ บริษัทผู้นำด้านความปลอดภัยทางไซเบอร์ด้วย AI ระดับโลก และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ประกาศความร่วมมือเชิงกลยุทธ์เพื่อยกระดับความปลอดภัยบนคลาวด์และเสริมสร้างขีดความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ให้กับหน่วยงานภาครัฐ ความร่วมมือนี้มีเป้าหมายเพื่อสนับสนุนการดำเนินงานตามกรอบความมั่นคงปลอดภัยคลาวด์แห่งชาติ (National Cloud Security Framework) และช่วยหน่วยงานภาครัฐในการเปลี่ยนผ่านระบบงานสู่แพลตฟอร์มคลาวด์ …