IBM Flashsystem

พบช่องโหว่บน WordPress REST API เสี่ยงถูกโจมตีแบบ Stored XSS

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Stored Cross-site Scripting (XSS) บน REST API ของ WordPress ซึ่งเป็นสาเหตุของการโจมตีแบบ Web Defacement บนเว็บไซต์กว่า 1,000,000 เว็บเมื่อช่วงไม่กี่สัปดาห์ที่ผ่านมา แนะนำให้ผู้ใช้รีบอัปเดตแพทช์เวอร์ชัน 4.7.3 เพื่อแก้ปัญหาดังกล่าว

Sucuri ระบุใน Blog ว่า ช่องโหว่บน REST API ที่ค้นพบนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังโค้ด JavaScript ลงบนเว็บไซต์ที่ใช้ WordPress ได้ เมื่อรวมกับช่องโหว่ Content Injection ก่อนหน้านี้ เป็นไปได้สูงมากที่แฮ็คเกอร์จะสามารถเจาะระบบเพื่อเปลี่ยนหน้าโพสต์ของเว็บไซต์ให้เป็นไปตามที่ตนเองต้องการ นอกจากนี้แฮ็คเกอร์อาจฝังโค้ด JavaScript แปลกปลอมไว้บนเว็บไซต์ เมื่อผู้ใช้กดดูโพสต์หรือผู้ดูแลระบบทำการแก้ไขโพสต์ผ่านทาง Dashboard โค้ดดังกล่าวจะถูกรันขึ้นมาเพื่อสร้าง Backdoor บนเว็บไซต์และสร้างผู้ใช้ Admin คนใหม่สำหรับให้แฮ็คเกอร์ใช้ควบคุม WordPress ได้

อย่างไรก็ตาม ช่องโหว่ Content Injection ได้ถูกแพทช์ไปแล้วใน WordPress 4.7.2 ส่งผลให้ความเสี่ยงในการโจมตี XSS นี้ลดความรุนแรงลง นอกจากนี้ แฮ็คเกอร์จำเป็นต้องมีสิทธิ์พิเศษในระดับหนึ่ง เช่น เป็น Contributor จึงจะโจมตีผ่านช่องโหว่นี้ได้

Sucuri แนะนำให้ผู้ใช้ WordPress 4.7.0 – 4.7.2 อัปเดตแพทช์ล่าสุดเวอร์ชัน 4.7.3 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่เชิงเทคนิค: https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

ที่มา: https://threatpost.com/wordpress-rest-api-bug-could-be-used-in-stored-xss-attacks/124294/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft ปรับโครงสร้างอีก เตรียมปลดพนักงาน 6,000 คน

สองปีหลังจากการปลดพนักงานครั้งใหญ่ครั้งล่าสุด Microsoft เปิดเผยว่า บริษัทมีแผนจะเลิกจ้างพนักงานประมาณ 6,000 คน หรือ 3% ของจำนวนพนักงานทั้งหมดของบริษัท โดย CNBC รายงานว่าการเลิกจ้างในครั้งนี้จะส่งผลกระทบต่อพนักงานในทุกระดับ ทีมงาน และภูมิภาค ขณะที่ …

Google ตั้งกองทุน AI Futures Fund เปิดโอกาสใหม่ให้สตาร์ทอัพ

Google ได้ประกาศโครงการใหม่ที่มีเป้าหมายในการลงทุนในสตาร์ทอัพด้านปัญญาประดิษฐ์ที่กำลังมาแรง