SUSE by Ingram

พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าแสนเว็บไซต์ แนะเร่งอัปเดต

Defiant ผู้เชี่ยวชาญด้าน WordPress Security ได้ออกเตือนถึง 2 ช่องโหว่ที่เกิดขึ้นบน Plugin ที่ชื่อ Popup Builder โดยคาดว่ามีผู้ได้รับผลกระทบกว่า 1 แสนเว็บไซต์ จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Credit:alexmillos/ShutterStock

Popup Builder เป็น Plugin ที่ออกแบบมาสำหรับช่วย สร้าง Deploy และจัดการ Popup เพื่อการโฆษณา ซึ่งมีความสามารถในการรันโค้ด JavaScript หรือ HTML

ประเด็นก็คือมีการค้นพบช่องโหว่หมายเลข CVE-2020-10196 ที่เกิดขึ้นเพราะว่า Plugin ได้มีการ Register AJAX Hook เพื่อทำการ Auto-saving Draft ของ Popup เอาไว้แต่กลับถูกใช้ได้จากผู้โจมตีที่ไม่ได้มีสิทธิ์ โดยคนร้ายสามารถส่ง Post Request ไปยัง wp-admin/admin-ajax.php พร้อมกับ JavaScript Payload อันตรายให้บันทึกไว้ก่อนแล้วค่อยไป Execute เมื่อแสดง Popup ทั้งนี้อาจใช้ Redirect ผู้ใช้ไปยังเว็บไซต์อันตรายได้หรือเข้ายึดไซต์หากเหยื่อมีการล็อกอินระดับผู้ดูแลอยู่

อีกช่องโหว่คือ CVE-2020-10195 สามารถทำให้คนร้ายในสิทธิ์ระดับต่ำสามารถ Export รายชื่อของ Subscriber ใน newsletter และรายละเอียดการตั้งค่าของระบบหรือเข้าถึงฟีเจอร์ของ Plugin ทั้งนี้ช่องโหว่ทั้งสองถูกแพตช์แล้วในเวอร์ชัน 3.64.1 จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ ปัจจุบันมีการอัปเดตจากผู้ใช้งานเพียง 33,000 เว็บไซต์คาดว่ายังเหลือเหยื่ออีกมากกว่า 60,000 แห่ง

ที่มา :  https://www.securityweek.com/flaws-popup-builder-plugin-impacted-over-100000-wordpress-sites และ  https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-allows-malicious-code-injection-on-100k-sites/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

HPE Aruba Webinar : Digital Transformation the digital future of all industry

ขอเรียนเชิญ IT Manager, Network Engineer, IT Admin และทุกท่านที่สนใจ เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง “ Digital Transformation the digital future of all industry ” อนาคตของยุคดิจิทัลอาจอยากที่จะคาดเดา แต่การมีระบบโครงสร้างพื้นฐานที่ดี จะช่วยให้องค์กรมีเครือข่ายที่มีประสิทธิภาพ Aruba มาพร้อมกับแผนการเรียนรู้ที่จะช่วยให้คุณสามารถเตรียมตัวให้พร้อมกับเทคโนโลยีที่เข้ามามีบทบาทมากยิ่งขึ้น พร้อมรับการเปลี่ยนแปลงโลกในอนาคตเพื่อช่วยให้คุณและองค์กรสามารถเตรียมตัวเข้าสู่โลกธุรกิจในยุคดิจิทัลได้อย่างเต็มที่เข้าร่วม webinar กับเราในวันพุธที่ 3 กุมภาพันธ์ 2564 เวลา 14.00 – 15.30 น. พร้อมลุ้นรับของรางวัลมากมายในงาน!!

ปกป้องข้อมูลสำคัญตาม GDPR/PDPA ด้วย Encryption และ Data Masking จาก Entrust

การปกป้องข้อมูลสำคัญและการเข้าถึงข้อมูลส่วนบุคคลอย่างถูกกฎหมายเป็นความท้าทายที่ทุกองค์กรทั่วไทยกำลังเผชิญ เนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำลังบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ บทความนี้จะมาแนะนำโซลูชัน Encryption และ Data Masking ของ Entrust …