WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cloudflare เปิดให้ผู้ใช้เข้าถึง Ethereum และ IPFS Gateway ได้สาธารณะ

เพื่อเป็นการสนับสนุนการเข้าสู่ระบบ Decentralized Web อีกระดับทาง Cloudflare จึงได้ประกาศเปิดให้ลูกค้าได้เข้าถึง Ethereum Gateway และ IPFS Gateway ได้สาธารณะ

Alibaba Cloud เปิดศูนย์ Data Center แห่งที่ 3 ในเยอรมนี

Alibaba Cloud ขยายศักยภาพการให้บริการระบบคลาวด์อย่างต่อเนื่อง ล่าสุดได้เพิ่มสาขาให้กับศูนย์ Data Center แห่งที่ 3 ในประเทศเยอรมนี เพื่อรองรับประสิทธิภาพในการประมวลมวลด้าน Storage, Networking, Database, Artificial Intelligence …