Breaking News

เตือนช่องโหว่บนปลั๊กอิน Live Chat ของ WordPress เสี่ยงถูกขโมยบันทึกการสนทนาและไฮแจ็กเซสชัน

นักวิจัยด้านความมั่นคงปลอดภัยจาก Alert Logic ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนหนึ่งในปลั๊กอิน Live Chat ยอดนิยมของ WordPress เสี่ยงอาจถูกแฮ็กเกอร์โจมตีจากระยะไกลเพื่อขโมยบันทึกการสนทนาหรือไฮแจ็กเซสชันที่ใช้สนทนาได้

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-12498 เป็นช่องโหว่บน “WP Live Chat Suppot” ซึ่งเป็นปลั๊กอิน Live Chat ที่มีธุรกิจกว่า 50,000 รายใช้งานเพื่อเป็นช่องทางในการแชตกับลูกค้าหรือผู้เข้าเยี่ยมชมเว็บไซต์ ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนอย่างไม่เหมาะสม ส่งผลให้ผู้ใช้ที่ไม่ได้พิสูจน์ตัวตนสามารถเข้าถึง REST API Endpoint ที่ถูกจำกัดการเข้าถึงไว้ได้

ในกรณีที่โจมตีสำเร็จ แฮ็กเกอร์จะสามารถ

  • ขโมยประวัติการสนทนาของทุกเซสชันการแชตได้ทั้งหมด
  • แก้ไขหรือลบประวัติการสนทนา
  • แทรกข้อความลงไปในเซสชันแชตที่กำลังเปิดใช้งานอยู่ เพื่อปลอมเป็นทีมซัพพอร์ตของเจ้าของเว็บไซต์
  • บังคับปิดเซสชันแชตที่กำลังดำเนินอยู่ ก่อให้เกิดการโจมตีแบบ Denial of Service (DoS)

ช่องโหว่นี้ส่งผลกระทบต่อเว็บไซต์ WordPress และผู้เยี่ยมชมที่มีการใช้ WP Live Caht Support เวอร์ชัน 8.0.32 หรือก่อนหน้านั้น อย่างไรก็ตาม ทีมนักวิจัยได้แจ้งรายละเอียดเกี่ยวกับช่องโหว่ไปยังทีมนักพัฒนาปลั๊กอิน ซึ่งก็ออกแพตช์เวอร์์ชันใหม่เพื่ออุดช่องโหว่เรียบร้อยเมื่อสัปดาห์ที่ผ่านมา จนถึงตอนนี้ยยังไม่พบรายการโจมตีผ่านช่องโหว่ดังกล่าว

รายละเอียดเชิงเทคนิค: https://blog.alertlogic.com/alert-logic-researchers-find-another-critical-vulnerability-in-wordpress-wp-live-chat-cve-2019-12498/

ที่มา: https://thehackernews.com/2019/06/wordpress-live-chat-plugin.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Data Center ยุค New Normal ควรไปต่อหรือพอแค่นี้ โดย Huawei

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Huawei Webinar เรื่อง “Data Center ยุค New Normal ควรไปต่อหรือพอแค่นี้” พร้อมเจาะลึกเทคโนโลยีที่จะช่วยแก้ปัญหาและตอบโจทย์ความต้องการด้าน Data Center Networking ได้อย่างมีประสิทธิภาพสูงสุด …

[Video Webinar] เตรียมพร้อมรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย Cloudflare & OneTrust

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Cloudflare Webinar เรื่อง “เตรียมพร้อมรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย Cloudflare & OneTrust” พร้อมแนะนำเครื่องมือและแนวทางปฏิบัติด้านความมั่นคงปลอดภัยให้สอดคล้องกับ พ.ร.บ. ดังกล่าว ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …