WordPress ออกแพทช์อุดช่องโหว่ Zero-day Content Injection แบบเงียบๆ

WordPress ผู้ให้บริการ CMS ชื่อดัง แอบออกอัปเดตแพทช์เพื่ออุดช่องโหว่ Zero-day บน WordPress REST API ประกอบด้วยช่องโหว่ Content Injection และ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์สามารถแก้ไขหรือลบ Pages และ Posts บน WordPress ได้โดยที่ผู้ใช้ไม่รู้ตัว

ช่องโหว่เหล่านี้ค้นพบโดย Sucuri บริษัทผู้ให้บริการโซลูชัน Web Security ชื่อดัง ซึ่งส่งผลกระทบบน WordPress เวอร์ชัน 4.7 และ 4.7.1 ซึ่งมีผู้ใช้มากกว่า 90,000 เว็บไซต์ทั่วโลก โดย Sucuri ได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้ดังนี้

ช่องโหว่ Privilege Escalation ที่ค้นพบส่งผลกระทบต่อ WordPress REST API ที่เพิ่งถูกใส่ลงไปใน WordPress เวอร์ชัน 4.7 โดยมาพร้อมกับ API Endpoint ซึ่งหนึ่งใน Endpoint เหล่านั้นช่วยให้ผู้ไม่ประสงค์ดีสามารถดู แก้ไข ลบ และสร้าง Post ใหม่ผ่าน API ได้ ที่เป็นปัญหาคือ REST API ถูกตั้งค่าให้เริ่มใช้งานตั้งแต่แรกบนทุกเว็บไซต์ที่ใช้ WordPress เวอร์ชัน 4.7 และ 4.7.1 ดังนั้น ทุกคนที่กำลังใช้ WordPress เหล่านี้อยู่ต่างตกอยู่ในความเสี่ยงทั้งสิ้น

“ช่องโหว่นี้ซีเรียสมาก เป็นช่องโหว่ที่สามารถนำไปใช้ในทางที่ผิดเพื่อแฮ็คเว็บไซต์ได้หลายวิธี พวกเราพยายามไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อให้แฮ็คเกอร์ทำงานได้ยากขึ้น ช่องโหว่นี้อาจนำไปสู่การโจมตีแบบ Remote Code Execution ขึ้นอยู่กับ Plug-in ที่ติดตั้งบนเว็บไซต์ นอกจากนี้ ถึงแม้ว่า Content จะถูกส่งผ่านไปยัง wp_kses ยังมีอีกหลายวิธีที่แฮ็คเกอร์สามารถแทรกโค้ด JavaScript หรือ HTML เข้าไปด้วยได้ รีบอัปเดต [แพทช์] โดยด่วน” — Sucuri ระบุใน Blog

Sucuri ร่วมกับ WordPress ออกแพทช์อัปเดตเวอร์ชัน 4.7.2 เมื่อวันที่ 26 มกราคมที่ผ่านมา ซึ่งจัดการอุดช่องโหว่ Zero-day เป็นที่เรียบร้อย หลายฝ่ายคาดเดาว่า ที่ Sucuri และ WordPress ไม่ได้ประกาศเรื่องนี้สู่สาธารณะเพราะต้องการปิดช่องโหว่นี้เป็นความลับไม่ให้แฮ็คเกอร์ล่วงรู้ ดังนั้นแนะนำให้ผู้ดูแลระบบทุกท่านรีบอัปเดตแพทช์โดยเร็ว

ที่มา: http://www.csoonline.com/article/3163629/security/wordpress-0-day-content-injection-vulnerability.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้