Black Hat Asia 2023

WordPress บังคับอัปเดตแพตช์ให้ปลั๊กอิน Loginizer

หากใครกำลังใช้ปลั๊กอินของ WordPress ยอดนิยมที่ชื่อ Loginizer ล่าสุดมีการค้นพบช่องโหว่ร้ายแรงถึงขึ้นว่าทีมงาน WordPress ต้องบังคับอัปเดตอัตโนมัติ

Loginizer เป็นปลั๊กอินยอดนิยม ซึ่งมีการติดตั้งแล้วกว่า 1 ล้านครั้ง โดยจะช่วยให้ผู้ใช้ทำ Blacklist/Whitelist IP address ของการล็อกอินเพจ รวมไปถึงการทำ 2-factors Authentication และสร้าง CAPTCHAs เพื่อบล็อกความพยายามเข้าถึง และอื่นๆ

ประเด็นคือมีการค้นพบช่องโหว่ SQL Injection อยู่ในส่วนของฟีเจอร์ป้องกัน Brute-force ซึ่งทีมงานอธิบายว่าเมื่อคนร้ายส่ง SQL Injection Statement เข้ามา ระบบจะรู้ว่าเป็นการล็อกอินผิดพลาดแต่ไม่ได้ทำให้ Statement ไร้ผล ด้วยเหตุนี้เองจึงเป็นที่มาของแพตช์ในเวอร์ชัน 1.6.4 ซึ่งทีมงาน WordPress ตีความความว่าร้ายแรงจนกระทั่งต้องใช้กลไกภายใน (Force Plugin Update) บังคับให้ผู้ใช้งานอัปเดตปลั๊กอินอัตโนมัติ

ที่มา : https://www.zdnet.com/article/wordpress-deploys-forced-security-update-for-dangerous-bug-in-popular-plugin/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์