เตือนช่องโหว่บนปลั๊กอิน Live Chat ของ WordPress เสี่ยงถูกขโมยบันทึกการสนทนาและไฮแจ็กเซสชัน

นักวิจัยด้านความมั่นคงปลอดภัยจาก Alert Logic ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนหนึ่งในปลั๊กอิน Live Chat ยอดนิยมของ WordPress เสี่ยงอาจถูกแฮ็กเกอร์โจมตีจากระยะไกลเพื่อขโมยบันทึกการสนทนาหรือไฮแจ็กเซสชันที่ใช้สนทนาได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-12498 เป็นช่องโหว่บน “WP Live Chat Suppot” ซึ่งเป็นปลั๊กอิน Live Chat ที่มีธุรกิจกว่า 50,000 รายใช้งานเพื่อเป็นช่องทางในการแชตกับลูกค้าหรือผู้เข้าเยี่ยมชมเว็บไซต์ ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนอย่างไม่เหมาะสม ส่งผลให้ผู้ใช้ที่ไม่ได้พิสูจน์ตัวตนสามารถเข้าถึง REST API Endpoint ที่ถูกจำกัดการเข้าถึงไว้ได้

ในกรณีที่โจมตีสำเร็จ แฮ็กเกอร์จะสามารถ

  • ขโมยประวัติการสนทนาของทุกเซสชันการแชตได้ทั้งหมด
  • แก้ไขหรือลบประวัติการสนทนา
  • แทรกข้อความลงไปในเซสชันแชตที่กำลังเปิดใช้งานอยู่ เพื่อปลอมเป็นทีมซัพพอร์ตของเจ้าของเว็บไซต์
  • บังคับปิดเซสชันแชตที่กำลังดำเนินอยู่ ก่อให้เกิดการโจมตีแบบ Denial of Service (DoS)

ช่องโหว่นี้ส่งผลกระทบต่อเว็บไซต์ WordPress และผู้เยี่ยมชมที่มีการใช้ WP Live Caht Support เวอร์ชัน 8.0.32 หรือก่อนหน้านั้น อย่างไรก็ตาม ทีมนักวิจัยได้แจ้งรายละเอียดเกี่ยวกับช่องโหว่ไปยังทีมนักพัฒนาปลั๊กอิน ซึ่งก็ออกแพตช์เวอร์์ชันใหม่เพื่ออุดช่องโหว่เรียบร้อยเมื่อสัปดาห์ที่ผ่านมา จนถึงตอนนี้ยยังไม่พบรายการโจมตีผ่านช่องโหว่ดังกล่าว

รายละเอียดเชิงเทคนิค: https://blog.alertlogic.com/alert-logic-researchers-find-another-critical-vulnerability-in-wordpress-wp-live-chat-cve-2019-12498/

ที่มา: https://thehackernews.com/2019/06/wordpress-live-chat-plugin.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ