พบช่องโหว่บน WordPress REST API เสี่ยงถูกโจมตีแบบ Stored XSS

Sucuri บริษัทที่ปรึกษาด้าน Web Security ชื่อดัง ออกมาเปิดเผยถึงช่องโหว่ Stored Cross-site Scripting (XSS) บน REST API ของ WordPress ซึ่งเป็นสาเหตุของการโจมตีแบบ Web Defacement บนเว็บไซต์กว่า 1,000,000 เว็บเมื่อช่วงไม่กี่สัปดาห์ที่ผ่านมา แนะนำให้ผู้ใช้รีบอัปเดตแพทช์เวอร์ชัน 4.7.3 เพื่อแก้ปัญหาดังกล่าว

Sucuri ระบุใน Blog ว่า ช่องโหว่บน REST API ที่ค้นพบนี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Stored XSS เพื่อฝังโค้ด JavaScript ลงบนเว็บไซต์ที่ใช้ WordPress ได้ เมื่อรวมกับช่องโหว่ Content Injection ก่อนหน้านี้ เป็นไปได้สูงมากที่แฮ็คเกอร์จะสามารถเจาะระบบเพื่อเปลี่ยนหน้าโพสต์ของเว็บไซต์ให้เป็นไปตามที่ตนเองต้องการ นอกจากนี้แฮ็คเกอร์อาจฝังโค้ด JavaScript แปลกปลอมไว้บนเว็บไซต์ เมื่อผู้ใช้กดดูโพสต์หรือผู้ดูแลระบบทำการแก้ไขโพสต์ผ่านทาง Dashboard โค้ดดังกล่าวจะถูกรันขึ้นมาเพื่อสร้าง Backdoor บนเว็บไซต์และสร้างผู้ใช้ Admin คนใหม่สำหรับให้แฮ็คเกอร์ใช้ควบคุม WordPress ได้

อย่างไรก็ตาม ช่องโหว่ Content Injection ได้ถูกแพทช์ไปแล้วใน WordPress 4.7.2 ส่งผลให้ความเสี่ยงในการโจมตี XSS นี้ลดความรุนแรงลง นอกจากนี้ แฮ็คเกอร์จำเป็นต้องมีสิทธิ์พิเศษในระดับหนึ่ง เช่น เป็น Contributor จึงจะโจมตีผ่านช่องโหว่นี้ได้

Sucuri แนะนำให้ผู้ใช้ WordPress 4.7.0 – 4.7.2 อัปเดตแพทช์ล่าสุดเวอร์ชัน 4.7.3 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่เชิงเทคนิค: https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

ที่มา: https://threatpost.com/wordpress-rest-api-bug-could-be-used-in-stored-xss-attacks/124294/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware ขอเชิญร่วมสัมมนาฟรี การใช้งาน VMware Workspace ONE Platform บน macOS/iOS/iPad OS สำหรับองค์กร 19 ธ.ค. 2019

VMware ขอเชิญ IT Manager, IT Administrator และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนาฟรี Deployment with VMware Workspace ONE Platform เพื่อทำความรู้จักกับเทคโนโลยี VMware Workspace ONE ที่จะเปลี่ยนประสบการณ์การทำงานผ่านอุปกรณ์ Mobile และ Tablet ภายในธุรกิจองค์รให้คล่องตัวและมั่นคงปลอดภัยยิ่งขึ้น พร้อมแบ่งปัน Best Practice ด้านการนำ Apple iOS และ iPad OS มาใช้ในการทำงานของธุรกิจให้มั่นคงปลอดภภัยและบริหารจัดการได้ ในวันที่ 19 ธันวาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้

Google ออกบริการ Transfer Service เพื่อย้าย Data ขึ้น Cloud

Transfer Service เป็นบริการเพื่อย้าย Data ขึ้น Cloud ล่าสุดจาก Google ที่หวังให้ผู้ใช้ตัดสินใจย้ายข้อมูลจาก On-premise ขึ้น Cloud ได้ง่ายมากขึ้น