พบช่องโหว่บน WordPress REST API เสี่ยงถูกโจมตีแบบ Stored XSS

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Stored Cross-site Scripting (XSS) บน REST API ของ WordPress ซึ่งเป็นสาเหตุของการโจมตีแบบ Web Defacement บนเว็บไซต์กว่า 1,000,000 เว็บเมื่อช่วงไม่กี่สัปดาห์ที่ผ่านมา แนะนำให้ผู้ใช้รีบอัปเดตแพทช์เวอร์ชัน 4.7.3 เพื่อแก้ปัญหาดังกล่าว

Sucuri ระบุใน Blog ว่า ช่องโหว่บน REST API ที่ค้นพบนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังโค้ด JavaScript ลงบนเว็บไซต์ที่ใช้ WordPress ได้ เมื่อรวมกับช่องโหว่ Content Injection ก่อนหน้านี้ เป็นไปได้สูงมากที่แฮ็คเกอร์จะสามารถเจาะระบบเพื่อเปลี่ยนหน้าโพสต์ของเว็บไซต์ให้เป็นไปตามที่ตนเองต้องการ นอกจากนี้แฮ็คเกอร์อาจฝังโค้ด JavaScript แปลกปลอมไว้บนเว็บไซต์ เมื่อผู้ใช้กดดูโพสต์หรือผู้ดูแลระบบทำการแก้ไขโพสต์ผ่านทาง Dashboard โค้ดดังกล่าวจะถูกรันขึ้นมาเพื่อสร้าง Backdoor บนเว็บไซต์และสร้างผู้ใช้ Admin คนใหม่สำหรับให้แฮ็คเกอร์ใช้ควบคุม WordPress ได้

อย่างไรก็ตาม ช่องโหว่ Content Injection ได้ถูกแพทช์ไปแล้วใน WordPress 4.7.2 ส่งผลให้ความเสี่ยงในการโจมตี XSS นี้ลดความรุนแรงลง นอกจากนี้ แฮ็คเกอร์จำเป็นต้องมีสิทธิ์พิเศษในระดับหนึ่ง เช่น เป็น Contributor จึงจะโจมตีผ่านช่องโหว่นี้ได้

Sucuri แนะนำให้ผู้ใช้ WordPress 4.7.0 – 4.7.2 อัปเดตแพทช์ล่าสุดเวอร์ชัน 4.7.3 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่เชิงเทคนิค: https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

ที่มา: https://threatpost.com/wordpress-rest-api-bug-could-be-used-in-stored-xss-attacks/124294/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Foxconn ร่วมมือกับ NVIDIA สร้างซูเปอร์คอมพิวเตอร์ AI ที่เร็วที่สุดในไต้หวัน

Foxconn จับมือ NVIDIA สร้างซูเปอร์คอมพิวเตอร์ AI ทรงพลังที่สุดในไต้หวัน คาดเริ่มใช้งานปี 2025

Microsoft ยุติการสนับสนุน Windows 11 รุ่น 22H2 สำหรับ Home และ Pro

Microsoft ยุติการสนับสนุน Windows 11 รุ่น 22H2 สำหรับ Home และ Pro พร้อมเริ่มอัปเกรดอัตโนมัติเป็น Windows 11 2024 Update