พบช่องโหว่บน WordPress Plugin คาดกระทบผู้ใช้กว่าแสนเว็บไซต์ แนะเร่งอัปเดต

Defiant ผู้เชี่ยวชาญด้าน WordPress Security ได้ออกเตือนถึง 2 ช่องโหว่ที่เกิดขึ้นบน Plugin ที่ชื่อ Popup Builder โดยคาดว่ามีผู้ได้รับผลกระทบกว่า 1 แสนเว็บไซต์ จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

Credit:alexmillos/ShutterStock

Popup Builder เป็น Plugin ที่ออกแบบมาสำหรับช่วย สร้าง Deploy และจัดการ Popup เพื่อการโฆษณา ซึ่งมีความสามารถในการรันโค้ด JavaScript หรือ HTML

ประเด็นก็คือมีการค้นพบช่องโหว่หมายเลข CVE-2020-10196 ที่เกิดขึ้นเพราะว่า Plugin ได้มีการ Register AJAX Hook เพื่อทำการ Auto-saving Draft ของ Popup เอาไว้แต่กลับถูกใช้ได้จากผู้โจมตีที่ไม่ได้มีสิทธิ์ โดยคนร้ายสามารถส่ง Post Request ไปยัง wp-admin/admin-ajax.php พร้อมกับ JavaScript Payload อันตรายให้บันทึกไว้ก่อนแล้วค่อยไป Execute เมื่อแสดง Popup ทั้งนี้อาจใช้ Redirect ผู้ใช้ไปยังเว็บไซต์อันตรายได้หรือเข้ายึดไซต์หากเหยื่อมีการล็อกอินระดับผู้ดูแลอยู่

อีกช่องโหว่คือ CVE-2020-10195 สามารถทำให้คนร้ายในสิทธิ์ระดับต่ำสามารถ Export รายชื่อของ Subscriber ใน newsletter และรายละเอียดการตั้งค่าของระบบหรือเข้าถึงฟีเจอร์ของ Plugin ทั้งนี้ช่องโหว่ทั้งสองถูกแพตช์แล้วในเวอร์ชัน 3.64.1 จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ ปัจจุบันมีการอัปเดตจากผู้ใช้งานเพียง 33,000 เว็บไซต์คาดว่ายังเหลือเหยื่ออีกมากกว่า 60,000 แห่ง

ที่มา :  https://www.securityweek.com/flaws-popup-builder-plugin-impacted-over-100000-wordpress-sites และ  https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-allows-malicious-code-injection-on-100k-sites/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สยาม เอไอ สร้างศักยภาพอนาคต AI ให้ประเทศไทย ด้วยเทคโนโลยี AI จากเดลล์ เทคโนโลยีส์

บริษัท สยาม เอไอ คอร์ปอเรชั่น ผู้ให้บริการ คลาวด์คอมพิวติ้งที่มีประสิทธิภาพสูงสำหรับงานทางด้านเอไอ ร่วมมือกับ เดลล์ เทคโนโลยีส์ ประเทศไทย พัฒนาโครงสร้างพื้นฐานด้านปัญญาประดิษฐ์ (AI) ในประเทศไทย โดยมีเป้าหมายที่จะยกระดับศักยภาพด้าน AI ของประเทศให้ทัดเทียมนานาชาติ พร้อมทั้งส่งเสริมการเรียนรู้และพัฒนานวัตกรรม AI ผ่านความร่วมมือกับสถาบันการศึกษา

Brocade เปิดตัว SAN Switch รุ่นใหม่ ‘G710’ เจาะกลุ่มธุรกิจระดับ SMB

Brocade G710 เป็น SAN Switch รุ่นล่าสุดที่มาพร้อมกับ Fibre Channel 64G 24 พอร์ท