Breaking News

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เผยพบ Password ผู้ใช้งานถูกเก็บแบบ Plain Text หลายร้อยล้านราย ตอนนี้แก้ไขแล้ว

Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม

Alibaba Cloud อายุครบรอบ 10 ปี เผยแผนเตรียมย้ายระบบ IT ทั้งหมดของ Alibaba ขึ้น Cloud 100%

ในงาน 2019 Cloud Summit โดย Alibaba Cloud ได้ออกมากล่าวถึงการครบรอบ 10 ปี พร้อมเผยถึงแผนการย้ายระบบ IT ทั้งหมดในธุรกิจของเครือ Alibaba ขึ้นไปอยู่บน Public Cloud ให้ได้ 100% ทั้งหมดภายใน 1-2 ปีนับถัดจากนี้ พร้อมแผนขยายตลาดรุกฮ่องกงและเอเชียตะวันออกเฉียงใต้