Breaking News

พบช่องโหว่ Cross-Site Scripting บน WooCommerce

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความปลอดภัยจาก FortiGuard Labs ตรวจพบช่องโหว่ Cross-site Scripting (XSS) บน WooCommerce

WooCommerce เป็นปลั๊กอินสำหรับสร้างระบบ eCommerce บน WordPress ยอดนิยมที่สามารถใช้งานได้ฟรี โดยปัจจุบันมีร้านค้าออนไลน์กว่า 30% ใช้งานระบบตัวนี้อยู่ สำหรับช่องโหว่นี้พบใน WooCommerce 2.6.8 และเวอร์ชันก่อนหน้า โดยช่องโหว่มีอยู่ในกระบวนการตั้งค่า Tax Rates Setting เนื่องจากในแต่ละประเทศมีการตั้งค่าภาษีที่ไม่เหมือนกัน ผู้ดูแลระบบบางรายอาจทำการดาวน์โหลดไฟล์ Template นามสกุล .CSV ตามเว็บไซต์ทั่วไป ซึ่งผู้ไม่ประสงค์ดีอาจทำการฝังสคริปเอาไว้เรียบร้อยแล้ว และเมื่อ Import เข้าไปอาจมีผลทำให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Web Server นั้นได้ทันที

Fortinet ได้ทำการ PoC ช่องโหว่นี้ ด้วยการฝัง VB Script เข้าไป เมื่อเหยื่อทำการเลื่อน Mouse ไปในช่อง Zip/Postcode ก็สามารถสั่งรัน VB Scrtipt บนเครื่องของเหยื่อได้ทันที

ล่าสุด Fortinet ได้ทำการเพิ่ม Signature ในการตรวจจับปัญหาดังกล่าวบน IPS ของตนเองแล้ว นอกจากนี้ WooCommerce ได้ออกอัพเดตเพื่ออุดช่องโหว่นี้ไปแล้วในเวอร์ชัน 2.6.9 ผู้ที่ใช้งานเวอร์ชันต่ำกว่านี้ควรทำการอัพเดตโดยด่วน

ที่มา : http://blog.fortinet.com/2016/12/16/woocommerce-tax-rates-cross-site-scripting-vulnerability2?elq_source=socialmedia&linkId=33361257


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

เตือนพบ P2P Botnet ใช้ช่องโหว่ Webmin แนะนำผู้ใช้เร่งอัปเดต

Qihoo 360 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ประกาศเตือน Botnet ที่ชื่อ Roboto ซึ่งจุดเด่นคือโครงสร้างเป็น Peer-to-peer และกำลังขยายฐานการโจมตีในวงกว้าง โดยอาศัยช่องโหว่ของ Webmin หมายเลข CVE-2019-15107

พบช่องโหว่ร้ายแรงใน Plugin WordPress ‘Jetpack’ แนะนำรีบอัปเดต

มีการประกาศออกแพตช์ช่องโหว่ร้ายแรงให้ Plugin ยอดนิยมในด้าน Security บน WordPress ที่ชื่อ Jetpack ดังนั้นจึงแนะนำให้ผู้ใช้งานเร่งอัปเดต