พบช่องโหว่ Cross-Site Scripting บน WooCommerce

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความปลอดภัยจาก FortiGuard Labs ตรวจพบช่องโหว่ Cross-site Scripting (XSS) บน WooCommerce

WooCommerce เป็นปลั๊กอินสำหรับสร้างระบบ eCommerce บน WordPress ยอดนิยมที่สามารถใช้งานได้ฟรี โดยปัจจุบันมีร้านค้าออนไลน์กว่า 30% ใช้งานระบบตัวนี้อยู่ สำหรับช่องโหว่นี้พบใน WooCommerce 2.6.8 และเวอร์ชันก่อนหน้า โดยช่องโหว่มีอยู่ในกระบวนการตั้งค่า Tax Rates Setting เนื่องจากในแต่ละประเทศมีการตั้งค่าภาษีที่ไม่เหมือนกัน ผู้ดูแลระบบบางรายอาจทำการดาวน์โหลดไฟล์ Template นามสกุล .CSV ตามเว็บไซต์ทั่วไป ซึ่งผู้ไม่ประสงค์ดีอาจทำการฝังสคริปเอาไว้เรียบร้อยแล้ว และเมื่อ Import เข้าไปอาจมีผลทำให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Web Server นั้นได้ทันที

Fortinet ได้ทำการ PoC ช่องโหว่นี้ ด้วยการฝัง VB Script เข้าไป เมื่อเหยื่อทำการเลื่อน Mouse ไปในช่อง Zip/Postcode ก็สามารถสั่งรัน VB Scrtipt บนเครื่องของเหยื่อได้ทันที

ล่าสุด Fortinet ได้ทำการเพิ่ม Signature ในการตรวจจับปัญหาดังกล่าวบน IPS ของตนเองแล้ว นอกจากนี้ WooCommerce ได้ออกอัพเดตเพื่ออุดช่องโหว่นี้ไปแล้วในเวอร์ชัน 2.6.9 ผู้ที่ใช้งานเวอร์ชันต่ำกว่านี้ควรทำการอัพเดตโดยด่วน

ที่มา : http://blog.fortinet.com/2016/12/16/woocommerce-tax-rates-cross-site-scripting-vulnerability2?elq_source=socialmedia&linkId=33361257

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

กลุ่มผู้ผลิตชิปวอนทำเนียบขาวเลี่ยงแทรกแซงกลไกตลาดหน่วยความจำ

สมาคมอุตสาหกรรมชิปได้ออกมาเรียกร้องให้ทำเนียบขาวหลีกเลี่ยงการเปลี่ยนแปลงครั้งใหญ่ในแนวทางการกำกับดูแลตลาดชิปหน่วยความจำ

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …