WordPress ออกแพทช์อุดช่องโหว่ Zero-day Content Injection แบบเงียบๆ

WordPress ผู้ให้บริการ CMS ชื่อดัง แอบออกอัปเดตแพทช์เพื่ออุดช่องโหว่ Zero-day บน WordPress REST API ประกอบด้วยช่องโหว่ Content Injection และ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์สามารถแก้ไขหรือลบ Pages และ Posts บน WordPress ได้โดยที่ผู้ใช้ไม่รู้ตัว

ช่องโหว่เหล่านี้ค้นพบโดย Sucuri บริษัทผู้ให้บริการโซลูชัน Web Security ชื่อดัง ซึ่งส่งผลกระทบบน WordPress เวอร์ชัน 4.7 และ 4.7.1 ซึ่งมีผู้ใช้มากกว่า 90,000 เว็บไซต์ทั่วโลก โดย Sucuri ได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้ดังนี้

ช่องโหว่ Privilege Escalation ที่ค้นพบส่งผลกระทบต่อ WordPress REST API ที่เพิ่งถูกใส่ลงไปใน WordPress เวอร์ชัน 4.7 โดยมาพร้อมกับ API Endpoint ซึ่งหนึ่งใน Endpoint เหล่านั้นช่วยให้ผู้ไม่ประสงค์ดีสามารถดู แก้ไข ลบ และสร้าง Post ใหม่ผ่าน API ได้ ที่เป็นปัญหาคือ REST API ถูกตั้งค่าให้เริ่มใช้งานตั้งแต่แรกบนทุกเว็บไซต์ที่ใช้ WordPress เวอร์ชัน 4.7 และ 4.7.1 ดังนั้น ทุกคนที่กำลังใช้ WordPress เหล่านี้อยู่ต่างตกอยู่ในความเสี่ยงทั้งสิ้น

“ช่องโหว่นี้ซีเรียสมาก เป็นช่องโหว่ที่สามารถนำไปใช้ในทางที่ผิดเพื่อแฮ็คเว็บไซต์ได้หลายวิธี พวกเราพยายามไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อให้แฮ็คเกอร์ทำงานได้ยากขึ้น ช่องโหว่นี้อาจนำไปสู่การโจมตีแบบ Remote Code Execution ขึ้นอยู่กับ Plug-in ที่ติดตั้งบนเว็บไซต์ นอกจากนี้ ถึงแม้ว่า Content จะถูกส่งผ่านไปยัง wp_kses ยังมีอีกหลายวิธีที่แฮ็คเกอร์สามารถแทรกโค้ด JavaScript หรือ HTML เข้าไปด้วยได้ รีบอัปเดต [แพทช์] โดยด่วน” — Sucuri ระบุใน Blog

Sucuri ร่วมกับ WordPress ออกแพทช์อัปเดตเวอร์ชัน 4.7.2 เมื่อวันที่ 26 มกราคมที่ผ่านมา ซึ่งจัดการอุดช่องโหว่ Zero-day เป็นที่เรียบร้อย หลายฝ่ายคาดเดาว่า ที่ Sucuri และ WordPress ไม่ได้ประกาศเรื่องนี้สู่สาธารณะเพราะต้องการปิดช่องโหว่นี้เป็นความลับไม่ให้แฮ็คเกอร์ล่วงรู้ ดังนั้นแนะนำให้ผู้ดูแลระบบทุกท่านรีบอัปเดตแพทช์โดยเร็ว

ที่มา: http://www.csoonline.com/article/3163629/security/wordpress-0-day-content-injection-vulnerability.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …