Black Hat Asia 2023
Credit: Maksim Kabakou/ShutterStock

WordPress ออกแพทช์อุดช่องโหว่ XSS

wordpress_logo

WordPress โปรแกรมสร้าง Blog ยอดนิยม ได้ประกาศแจ้งเตือนให้อัพเดทแพทช์เวอร์ชันล่าสุด 4.1.2 เพื่ออุดช่องโหว่ Cross-site Scripting ที่พบบน Plugin ของ WordPress หลายตัวเมื่อไม่กี่วันก่อน ซึ่งช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถเข้ามาโจมตี แก้ไขหน้าเว็บไซต์ของเราได้

แพทช์ความปลอดภัยนี้ นอกจากจะอุดช่องโหว่ XSS แล้ว ยังช่วยอุดช่องโหว่ของ Pugin บางตัวที่อาจถูกโจมตีแบบ SQL Injection ได้ รวมทั้งมีการเสริมความปลอดภัยของโค้ดที่ใช้งานอีกด้วย

Gary Pendergast นักพัฒนาของ WordPress ระบุ “ช่องโหว่ XSS ที่เพิ่งค้นพบบน Plugin หลายตัวเมื่อไม่กี่วันก่อน เกิดจากการ Implement ที่ไม่ปลอดภัยของ 2 ฟังก์ชันที่ทีมนักพัฒนาใช้เพื่อแก้ไข หรือเพิ่ม Query string บน URL ภายในตัว WordPress เอง การอัพเดทแพทช์อย่างสม่ำเสมอจะช่วยแก้ไขบั๊คและอุดช่องโหว่ใหม่ๆที่ถูกค้นพบได้”

นอกจากนี้ Pendergast ยังแนะนำให้ผู้พัฒนา Plugin ตรวจสอบ Plugin ของตนอีกครั้งว่า ได้รับผลกระทบของช่องโหว่ XSS นี้หรือไม่ โดยสามารถดูวิธีการตรวจสอบและแก้ไขได้ที่นี่

ลิสต์ของ Plugin ทั้งหมดที่ได้รับผลกระทบ XSS สามารถดูได้ที่ Sucuri Blog

รายละเอียดเพิ่มเติม: https://wordpress.org/news/2015/04/wordpress-4-1-2/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …