Breaking News
AMR | Citrix Webinar: The Next New Normal

พบช่องโหว่บน WordPress REST API เสี่ยงถูกโจมตีแบบ Stored XSS

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Stored Cross-site Scripting (XSS) บน REST API ของ WordPress ซึ่งเป็นสาเหตุของการโจมตีแบบ Web Defacement บนเว็บไซต์กว่า 1,000,000 เว็บเมื่อช่วงไม่กี่สัปดาห์ที่ผ่านมา แนะนำให้ผู้ใช้รีบอัปเดตแพทช์เวอร์ชัน 4.7.3 เพื่อแก้ปัญหาดังกล่าว

Sucuri ระบุใน Blog ว่า ช่องโหว่บน REST API ที่ค้นพบนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังโค้ด JavaScript ลงบนเว็บไซต์ที่ใช้ WordPress ได้ เมื่อรวมกับช่องโหว่ Content Injection ก่อนหน้านี้ เป็นไปได้สูงมากที่แฮ็คเกอร์จะสามารถเจาะระบบเพื่อเปลี่ยนหน้าโพสต์ของเว็บไซต์ให้เป็นไปตามที่ตนเองต้องการ นอกจากนี้แฮ็คเกอร์อาจฝังโค้ด JavaScript แปลกปลอมไว้บนเว็บไซต์ เมื่อผู้ใช้กดดูโพสต์หรือผู้ดูแลระบบทำการแก้ไขโพสต์ผ่านทาง Dashboard โค้ดดังกล่าวจะถูกรันขึ้นมาเพื่อสร้าง Backdoor บนเว็บไซต์และสร้างผู้ใช้ Admin คนใหม่สำหรับให้แฮ็คเกอร์ใช้ควบคุม WordPress ได้

อย่างไรก็ตาม ช่องโหว่ Content Injection ได้ถูกแพทช์ไปแล้วใน WordPress 4.7.2 ส่งผลให้ความเสี่ยงในการโจมตี XSS นี้ลดความรุนแรงลง นอกจากนี้ แฮ็คเกอร์จำเป็นต้องมีสิทธิ์พิเศษในระดับหนึ่ง เช่น เป็น Contributor จึงจะโจมตีผ่านช่องโหว่นี้ได้

Sucuri แนะนำให้ผู้ใช้ WordPress 4.7.0 – 4.7.2 อัปเดตแพทช์ล่าสุดเวอร์ชัน 4.7.3 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่เชิงเทคนิค: https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

ที่มา: https://threatpost.com/wordpress-rest-api-bug-could-be-used-in-stored-xss-attacks/124294/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ISS Consulting จับมือ SAP Concur เปิดตัวเป็นผู้ให้บริการโซลูชั่นการบริหารจัดการการเดินทางและค่าใช้จ่ายพนักงานในองค์กรรายเดียวในประเทศไทยแล้ววันนี้

ISS Consulting ประกาศเป็นพาร์ทเนอร์รายแรกในประเทศไทยกับ SAP Concur และเป็นรายเดียวที่ให้บริการให้คำปรึกษาและติดตั้งโซลูชั่นบริหารจัดการการเดินทางและค่าใช้จ่ายของพนักงานในองค์กร ซึ่งจะช่วยธุรกิจจัดการขั้นตอนการวางแผนการเดินทางและรายจ่ายของพนักงานอย่างเป็นระบบ ช่วยลดต้นทุนและเพิ่มความเร็วในกระบวนการทำงานด้วยขั้นตอนแบบดิจิตอล

Microsoft Azure & ISS Webinar: อัปเกรด SAP ให้ล้ำยิ่งกว่าเดิมบน Microsoft Azure โดย ISS Consulting และ Microsoft Azure

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ ERP, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อัปเกรด SAP ให้ล้ำยิ่งกว่าเดิมบน Microsoft Azure โดย ISS Consulting และ Microsoft" เพื่อเรียนรู้ถึงแนวทางการนำระบบ ERP สำคัญขององค์กรไปใช้งานบน Cloud ว่ามีข้อดีข้อเสียอย่างไรและมีประเด็นใดที่ต้องพิจารณา รวมถึงทำความรู้จักกับโซลูชันร่วมกันระหว่าง SAP และ Microsoft เพื่อนำ SAP S/4HANA ไปใช้งานบน Microsoft Azure ได้อย่างเต็มประสิทธิภาพ ในวันจันทร์ที่ 8 มิถุนายน 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้