พบช่องโหว่บน WordPress REST API เสี่ยงถูกโจมตีแบบ Stored XSS

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Stored Cross-site Scripting (XSS) บน REST API ของ WordPress ซึ่งเป็นสาเหตุของการโจมตีแบบ Web Defacement บนเว็บไซต์กว่า 1,000,000 เว็บเมื่อช่วงไม่กี่สัปดาห์ที่ผ่านมา แนะนำให้ผู้ใช้รีบอัปเดตแพทช์เวอร์ชัน 4.7.3 เพื่อแก้ปัญหาดังกล่าว

Sucuri ระบุใน Blog ว่า ช่องโหว่บน REST API ที่ค้นพบนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังโค้ด JavaScript ลงบนเว็บไซต์ที่ใช้ WordPress ได้ เมื่อรวมกับช่องโหว่ Content Injection ก่อนหน้านี้ เป็นไปได้สูงมากที่แฮ็คเกอร์จะสามารถเจาะระบบเพื่อเปลี่ยนหน้าโพสต์ของเว็บไซต์ให้เป็นไปตามที่ตนเองต้องการ นอกจากนี้แฮ็คเกอร์อาจฝังโค้ด JavaScript แปลกปลอมไว้บนเว็บไซต์ เมื่อผู้ใช้กดดูโพสต์หรือผู้ดูแลระบบทำการแก้ไขโพสต์ผ่านทาง Dashboard โค้ดดังกล่าวจะถูกรันขึ้นมาเพื่อสร้าง Backdoor บนเว็บไซต์และสร้างผู้ใช้ Admin คนใหม่สำหรับให้แฮ็คเกอร์ใช้ควบคุม WordPress ได้

อย่างไรก็ตาม ช่องโหว่ Content Injection ได้ถูกแพทช์ไปแล้วใน WordPress 4.7.2 ส่งผลให้ความเสี่ยงในการโจมตี XSS นี้ลดความรุนแรงลง นอกจากนี้ แฮ็คเกอร์จำเป็นต้องมีสิทธิ์พิเศษในระดับหนึ่ง เช่น เป็น Contributor จึงจะโจมตีผ่านช่องโหว่นี้ได้

Sucuri แนะนำให้ผู้ใช้ WordPress 4.7.0 – 4.7.2 อัปเดตแพทช์ล่าสุดเวอร์ชัน 4.7.3 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่เชิงเทคนิค: https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

ที่มา: https://threatpost.com/wordpress-rest-api-bug-could-be-used-in-stored-xss-attacks/124294/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft Exchange Server 2013 จะสิ้นสุดการสนับสนุนปี 2023

ช่วงนี้มีแต่ข่าว ลด ละ เลิก บนผลิตภัณฑ์ของ Microsoft ครานี้ถึงชะตาของ Exchange Server 2013 จากการประกาศล่าสุดเกี่ยวกับการสิ้นสุดการสนับสนุนซึ่งแจ้งไว้ล่วงหน้าเกือบปีในวันที่ 11 เมษายน 2023 ซึ่งจะเป็นวันสุดท้าย

รีวิว: TP-Link Omada EAP670 AX5400 – Wi-Fi 6 Access Point ระดับ High-end Business รุ่นใหม่

Wi-Fi เป็นหนึ่งในการเชื่อมต่อที่สำคัญที่สุดขององค์กร บทความนี้ TechTalkThai จะมารีวิว Omada EAP670 AX5400 ซึ่งเป็น Access Point มาตรฐาน Wi-Fi 6 รุ่นใหม่ล่าสุดจาก …