Breaking News

พบช่องโหว่ SQL Injection บน WordPress Plugin เสี่ยงข้อมูลถูกขโมย

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ SQL Injection บน NextGEN Gallery ซึ่งเป็น Plugin ของ WordPress ที่มียอดดาวน์โหลดมากกว่า 1,000,000 ครั้ง ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลสำคัญของเว็บไซต์ออกจากฐานข้อมูลได้

ช่องโหว่ SQL Injection ที่ค้นพบบน NextGEN Gallery มี 2 จุด คือ

ช่องโหว่ที่เกิดจากการใช้ฟีเจอร์ NextGEN Basic TagCloud Gallery ซึ่งช่วยให้เจ้าของไซต์สามารถดูรูปภาพตาม Tag ได้ ซึ่งเมื่อคลิก Tag ที่ต้องการ จะทำให้ URL เปลี่ยนแปลงตาม ปัญหาคือ แฮ็คเกอร์สามารถแก้ไขพารามิเตอร์บน URL เพื่อแทรก SQL Query เข้าไปให้ Plugin ประมวลผล แล้วแอบดูหรือเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้ ทั้งนี้ สาเหตุมาจากปัญหาพื้นฐานของเว็บแอพพลิเคชันทั่วไป (ทั้ง WordPress และแอพอื่นๆ ) คือ ขาดการกรองข้อมูลที่ใส่เข้าไปในพารามิเตอร์บน URL อย่างเหมาะสม

อีกช่องโหว่หนึ่งจะเกิดขึ้นในกรณีที่เจ้าของไซต์อนุญาตให้ผู้ใช้โพสต์ข้อความลงบน Blog ได้ ซึ่งแฮ็คเกอร์สามารถใส่โค้ดแปลกปลอมสำหรับ NextGEN Gallery เพื่อลอบส่งคำสั่ง SQL Query เข้าไปประมวลผลในฐานข้อมูลได้ ในกรณีที่แฮ็คเกอร์มีความเชี่ยวชาญด้าน SQL อาจทำให้สามารถขโมยข้อมูลในฐานข้อมูลทั้งหมด รวมไปถึงข้อมูลส่วนบุคคลของผู้ใช้ออกมาได้ทันที

Sucuri ให้คะแนนความเสี่ยงของช่องโหว่นี้ที่ 9 เต็ม 10 เนื่องจากสามารถเจาะช่องโหว่ได้ง่ายมาก ต่อให้เป็นแฮ็คเกอร์มือสมัครเล่นก็ตาม ข่าวดีคือ NextGEN Gallery ออกแพทช์เวอร์ชัน 2.1.79 เพื่ออุดช่องโหว่ SQL Injection นี้เป็นที่เรียบร้อย เพียงแต่ใช้คำพูดใน Change Log ว่า “Tag display adjustment” ซึ่งอาจไม่สื่อถึงความสำคัญของแพทช์ดังกล่าวมากนัก แต่แนะนำให้ผู้ที่ใช้ Plugin นี้อยู่รีบอัปเดตโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/severe-sql-injection-flaw-discovered-in-wordpress-plugin-with-over-1-million-installs/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

VMware TechTuesday Webinar ภาคภาษาไทย: VMware NSX Advanced Load Balancer

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง VMware TechTuesday Webinar ภาคภาษาไทย ในหัวข้อเรื่อง "VMware NSX Advanced Load Balancer" เพื่อทำความรู้จักกับความสามารถใหม่ๆ ใน VMware vSAN 7.0 ที่จะช่วยเปลี่ยน Data Center ขององค์กรให้ก้าวสู่การทำ Hybrid Cloud ได้อย่างง่ายดาย บริหารจัดการได้คล่องตัว และปกป้องข้อมูลสำคัญของธุรกิจได้ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้