WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

จาก Mobile Banking สู่ Open Banking: เมื่อธนาคารทั่วโลกต้องให้บริการทางการเงินผ่าน API ตอบโจทย์ธุรกิจในยุค Digital

การเปลี่ยนแปลงของธุรกิจธนาคารเองนั้นจะยังไม่จบลงเพียงเท่านี้ เพราะก้าวถัดไปที่เหล่าธนาคารต้องปรับตัวกันต่อไปนั้นก็คือการก้าวสู่ API Economy ที่จะทำให้บริการทางด้านการเงินของธนาคารนั้นสามารถเชื่อมต่อกับ Digital Product อื่นๆ ได้ ไม่ว่าจะเป็น Web Application, Mobile Application หรือบริการรูปแบบใดๆ ก็ตาม เพื่อให้ผู้ใช้งานของ Digital Product นั้นๆ สามารถเรียกใช้งานบริการทางด้านการเงินได้อย่างสะดวกและง่ายดายยิ่งกว่าเดิม ซึ่งการเปลี่ยนแปลงในครั้งนี้ก็มีชื่อเรียกกันว่า Open Banking นั่นเอง และบทความนี้เราก็จะพาผู้อ่านทุกท่านไปรู้จักกับ Open Banking กันครับ

FMS และ Sage ขอเชิญร่วมงานสัมมนา “ERP In Manufacturing Trend 2020 by Sage X3” 20 มิ.ย. 2019

FMS ร่วมกับ Sage ขอเรียนเชิญกลุ่มบริษัทอุตสาหกรรม เข้าร่วมงานสัมมนา “ERP In Manufacturing Trend 2020 by Sage X3” เพื่อเรียนรู้เทรนด์เทคโนโลยีที่จะช่วยเพิ่มประสิทธิภาพการทำงาน การจัดการในอุตสาหกรรมการผลิต เช่น Big Data , Internet Of Thing (IoT), Artificial Intelligence (AI), Machine Learning และร่วมรับฟังการบรรยายในหัวข้อเตรียมความพร้อมบริษัทสู่ระบบภาษีอิเล็กทรอนิกส์ (E-Tax) ในวันพฤหัสบดีที่ 20 มิถุนายน 2019 เวลา 13.00- 17.00 น. ณ โรงแรม Oakwood and Residence ศรีราชา จังหวัดชลบุรี โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานสัมมนาฟรีดังนี้