พบช่องโหว่ Cross-Site Scripting บน WooCommerce

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความปลอดภัยจาก FortiGuard Labs ตรวจพบช่องโหว่ Cross-site Scripting (XSS) บน WooCommerce

WooCommerce เป็นปลั๊กอินสำหรับสร้างระบบ eCommerce บน WordPress ยอดนิยมที่สามารถใช้งานได้ฟรี โดยปัจจุบันมีร้านค้าออนไลน์กว่า 30% ใช้งานระบบตัวนี้อยู่ สำหรับช่องโหว่นี้พบใน WooCommerce 2.6.8 และเวอร์ชันก่อนหน้า โดยช่องโหว่มีอยู่ในกระบวนการตั้งค่า Tax Rates Setting เนื่องจากในแต่ละประเทศมีการตั้งค่าภาษีที่ไม่เหมือนกัน ผู้ดูแลระบบบางรายอาจทำการดาวน์โหลดไฟล์ Template นามสกุล .CSV ตามเว็บไซต์ทั่วไป ซึ่งผู้ไม่ประสงค์ดีอาจทำการฝังสคริปเอาไว้เรียบร้อยแล้ว และเมื่อ Import เข้าไปอาจมีผลทำให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Web Server นั้นได้ทันที

Fortinet ได้ทำการ PoC ช่องโหว่นี้ ด้วยการฝัง VB Script เข้าไป เมื่อเหยื่อทำการเลื่อน Mouse ไปในช่อง Zip/Postcode ก็สามารถสั่งรัน VB Scrtipt บนเครื่องของเหยื่อได้ทันที

ล่าสุด Fortinet ได้ทำการเพิ่ม Signature ในการตรวจจับปัญหาดังกล่าวบน IPS ของตนเองแล้ว นอกจากนี้ WooCommerce ได้ออกอัพเดตเพื่ออุดช่องโหว่นี้ไปแล้วในเวอร์ชัน 2.6.9 ผู้ที่ใช้งานเวอร์ชันต่ำกว่านี้ควรทำการอัพเดตโดยด่วน

ที่มา : http://blog.fortinet.com/2016/12/16/woocommerce-tax-rates-cross-site-scripting-vulnerability2?elq_source=socialmedia&linkId=33361257


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

แนะนำ 9 เครื่องมือสำหรับงาน AI Governance

ประเด็นด้านการใช้งาน AI เริ่มเป็นที่ถกเถียงมากขึ้น จากชื่อเสียงและความเก่งกาจที่เพิ่มขึ้นทุกวัน หรือความเสี่ยงที่ผู้ให้บริการ AI อาจล่วงรู้ถึงข้อมูลที่ละเอียดอ่อน และการละเมิดลิขสิทธิ์ด้านข้อมูล นอกจากนี้ยังมีประเด็นที่คนร้ายสามารถใช้ประโยชน์จาก AI ได้ด้วย ด้วยเหตุนี้องค์กรในปัจจุบันที่ต้องการสร้างโปรเจ็คด้าน AI จึงต้องย้อนกลับมาตั้งต้นด้วยโจทย์ที่ว่า ท่านจะสร้าง …

Data warehouse คืออะไร?

การทำงานใดที่มีข้อมูลเกิดขึ้นและต้องนำข้อมูลไปใช้ประโยชน์ การทำงานนั้นย่อมมีระบบหรือวิธีการจัดเก็บข้อมูล ยกตัวอย่างเช่นฐานข้อมูล (database) ก็เป็นทางเลือกหนึ่ง ต่อมาหากต้องการมองภาพรวมของส่วนธุรกิจ องค์กรก็ต้องบูรณาการข้อมูลเข้าด้วยกันเพื่อวิเคราะห์แนวโน้มหรือสกัดคุณค่าบางอย่างออกมา โดย Data Warehouse คือกลยุทธ์หนึ่งที่ตอบโจทย์ความต้องการนี้ คำถามคือแล้ว Data Warehouse คืออะไรกันแน่?