WordPress ออกแพทช์อุดช่องโหว่ Zero-day Content Injection แบบเงียบๆ

WordPress ผู้ให้บริการ CMS ชื่อดัง แอบออกอัปเดตแพทช์เพื่ออุดช่องโหว่ Zero-day บน WordPress REST API ประกอบด้วยช่องโหว่ Content Injection และ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์สามารถแก้ไขหรือลบ Pages และ Posts บน WordPress ได้โดยที่ผู้ใช้ไม่รู้ตัว

ช่องโหว่เหล่านี้ค้นพบโดย Sucuri บริษัทผู้ให้บริการโซลูชัน Web Security ชื่อดัง ซึ่งส่งผลกระทบบน WordPress เวอร์ชัน 4.7 และ 4.7.1 ซึ่งมีผู้ใช้มากกว่า 90,000 เว็บไซต์ทั่วโลก โดย Sucuri ได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้ดังนี้

ช่องโหว่ Privilege Escalation ที่ค้นพบส่งผลกระทบต่อ WordPress REST API ที่เพิ่งถูกใส่ลงไปใน WordPress เวอร์ชัน 4.7 โดยมาพร้อมกับ API Endpoint ซึ่งหนึ่งใน Endpoint เหล่านั้นช่วยให้ผู้ไม่ประสงค์ดีสามารถดู แก้ไข ลบ และสร้าง Post ใหม่ผ่าน API ได้ ที่เป็นปัญหาคือ REST API ถูกตั้งค่าให้เริ่มใช้งานตั้งแต่แรกบนทุกเว็บไซต์ที่ใช้ WordPress เวอร์ชัน 4.7 และ 4.7.1 ดังนั้น ทุกคนที่กำลังใช้ WordPress เหล่านี้อยู่ต่างตกอยู่ในความเสี่ยงทั้งสิ้น

“ช่องโหว่นี้ซีเรียสมาก เป็นช่องโหว่ที่สามารถนำไปใช้ในทางที่ผิดเพื่อแฮ็คเว็บไซต์ได้หลายวิธี พวกเราพยายามไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อให้แฮ็คเกอร์ทำงานได้ยากขึ้น ช่องโหว่นี้อาจนำไปสู่การโจมตีแบบ Remote Code Execution ขึ้นอยู่กับ Plug-in ที่ติดตั้งบนเว็บไซต์ นอกจากนี้ ถึงแม้ว่า Content จะถูกส่งผ่านไปยัง wp_kses ยังมีอีกหลายวิธีที่แฮ็คเกอร์สามารถแทรกโค้ด JavaScript หรือ HTML เข้าไปด้วยได้ รีบอัปเดต [แพทช์] โดยด่วน” — Sucuri ระบุใน Blog

Sucuri ร่วมกับ WordPress ออกแพทช์อัปเดตเวอร์ชัน 4.7.2 เมื่อวันที่ 26 มกราคมที่ผ่านมา ซึ่งจัดการอุดช่องโหว่ Zero-day เป็นที่เรียบร้อย หลายฝ่ายคาดเดาว่า ที่ Sucuri และ WordPress ไม่ได้ประกาศเรื่องนี้สู่สาธารณะเพราะต้องการปิดช่องโหว่นี้เป็นความลับไม่ให้แฮ็คเกอร์ล่วงรู้ ดังนั้นแนะนำให้ผู้ดูแลระบบทุกท่านรีบอัปเดตแพทช์โดยเร็ว

ที่มา: http://www.csoonline.com/article/3163629/security/wordpress-0-day-content-injection-vulnerability.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เผยการยับยั้งการ DDoS ขนาด 3.47 Tbps ไว้ได้ด้วย Azure DDoS Protection

Microsoft ได้ออกมาเปิดเผยเหตุการณ์ที่แพลตฟอร์ม Azure DDoS Protection สามารถช่วยป้องกันการระดมโจมตีขนาด 3.47 Tbps เอาไว้

Delta Electronics โดนแรนซัมแวร์เข้าโจมตี เรียกค่าไถ่ 15 ล้านเหรียญสหรัฐฯ

Delta Electronics บริษัทผลิตชิ้นส่วนอิเล็กทรอนิกส์รายใหญ่ของไต้หวันที่มีคู่ค้ารายใหญ่อย่าง Apple, Tesla, HP และ Dell ได้ออกมาเปิดเผยว่าตกเป็นเหยื่อของการโจมตี