พบช่องโหว่ Cross-Site Scripting บน WooCommerce

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความปลอดภัยจาก FortiGuard Labs ตรวจพบช่องโหว่ Cross-site Scripting (XSS) บน WooCommerce

WooCommerce เป็นปลั๊กอินสำหรับสร้างระบบ eCommerce บน WordPress ยอดนิยมที่สามารถใช้งานได้ฟรี โดยปัจจุบันมีร้านค้าออนไลน์กว่า 30% ใช้งานระบบตัวนี้อยู่ สำหรับช่องโหว่นี้พบใน WooCommerce 2.6.8 และเวอร์ชันก่อนหน้า โดยช่องโหว่มีอยู่ในกระบวนการตั้งค่า Tax Rates Setting เนื่องจากในแต่ละประเทศมีการตั้งค่าภาษีที่ไม่เหมือนกัน ผู้ดูแลระบบบางรายอาจทำการดาวน์โหลดไฟล์ Template นามสกุล .CSV ตามเว็บไซต์ทั่วไป ซึ่งผู้ไม่ประสงค์ดีอาจทำการฝังสคริปเอาไว้เรียบร้อยแล้ว และเมื่อ Import เข้าไปอาจมีผลทำให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุม Web Server นั้นได้ทันที

Fortinet ได้ทำการ PoC ช่องโหว่นี้ ด้วยการฝัง VB Script เข้าไป เมื่อเหยื่อทำการเลื่อน Mouse ไปในช่อง Zip/Postcode ก็สามารถสั่งรัน VB Scrtipt บนเครื่องของเหยื่อได้ทันที

ล่าสุด Fortinet ได้ทำการเพิ่ม Signature ในการตรวจจับปัญหาดังกล่าวบน IPS ของตนเองแล้ว นอกจากนี้ WooCommerce ได้ออกอัพเดตเพื่ออุดช่องโหว่นี้ไปแล้วในเวอร์ชัน 2.6.9 ผู้ที่ใช้งานเวอร์ชันต่ำกว่านี้ควรทำการอัพเดตโดยด่วน

ที่มา : http://blog.fortinet.com/2016/12/16/woocommerce-tax-rates-cross-site-scripting-vulnerability2?elq_source=socialmedia&linkId=33361257



About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Infor WMS พร้อมพาธุรกิจรับมือความท้าทายด้าน Supply Chain ในปี 2020 ด้วยระบบ Intelligent Warehouse ครบวงจร

การแพร่ระบาดของ COVID-19 ที่ปั่นป่วน Supply Chain ไปทั่วโลกในปีนี้นั้นเป็นเหตุการณ์หนึ่งที่เน้นย้ำให้เห็นชัดถึงความสำคัญของการจัดการ Supply Chain ที่ดี เมื่อความผันผวนเป็นสิ่งที่ต้องเผชิญในทุกวัน การตัดสินใจที่รวดเร็วและเหมาะสมกับบริบทก็ย่อมสร้างข้อได้เปรียบให้กับธุรกิจ หนึ่งซอฟต์แวร์ที่สามารถตอบโจทย์ความรวดเร็วและการเปลี่ยนแปลงนี้ได้เป็นอย่างดีคือ Infor WMS ซึ่งเป็นซอฟต์แวร์จัดการคลังสินค้าอย่างครบวงจรที่พัฒนาขึ้นจากองค์ความรู้มากกว่า …

REvil Ransomware เปลี่ยนโมเดลเรียกค่าไถ่ ทำรายได้กว่า 3,000 ล้านบาทต่อปี

แฮ็กเกอร์ผู้พัฒนา REvil Ransomware ออกมาเปิดเผยว่า พวกเขาสามารถทำเงินได้มากถึง 3,000 ล้านบาทภายใน 1 ปี โดยเปลี่ยนแนวทางเรียกค่าไถ่ใหม่ จากการเข้ารหัสไฟล์ไปเป็นการขโมยไฟล์แล้วขู่เผยแพร่สู่สาธารณะ ส่งผลให้องค์กรขนาดใหญ่ตัดสินใจยอมจ่ายค่าไถ่มากขึ้น