นักวิจัยเตือนพบช่องโหว่บน WordPress Plugin แฮ็กเว็บได้ทันที

Luka Šikić นักวิจัยและพัฒนาจาก WebARX ได้ออกมาเตือนว่าพบช่องโหว่บน Plugin ที่ชื่อ Simple Social Button ซึ่งมีผู้ดาวน์โหลดแล้วกว่า 40,000 ครั้ง โดยช่องโหว่สามารถทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้ นอกจากนี้นักวิจัยได้ปล่อยคลิปวีดีโอสาธิตไว้ด้วย

Credit: WordPress

Simple Social Button เป็น Plugin ของ WordPress ที่เอาไว้สนับสนุนในการแชร์ Social Media ต่างๆ โดยนักวิจัยรายงานว่า “พบการออกแบบ flow ไม่เหมาะสมที่ขาดการตรวจสอบสิทธิ์” ดังนั้นแฮ็กเกอร์สามารถลงทะเบียนบัญชีบนเว็บไซต์ใหม่และเข้าไปแก้ไขการตั้งค่าหลักของ WordPress ได้ซึ่งมากเกินกว่าที่ Plugin ตัวนี้ตั้งใจเอาไว้ ไม่เพียงแค่นั้นเพราะการโจมตีอาจทำให้แฮ็กเกอร์เข้าควบคุมไซต์ได้เลยด้วยการติดตั้ง Backdoor หรือยึดบัญชีผู้ดูแล 

นอกจากนี้นักวิจัยเตือนว่าเว็บไซต์ไหนที่มีการเปิดให้ผู้ใช้งานสามารถลงทะเบียนเข้ามาใช้งานจะมีความเสี่ยง ดังนั้นผู้ดูแลควรอัปเดตเป็นเวอร์ชัน 2.0.22 ที่ทางบริษัทเจ้าของ Plugin ได้อัปเดตแล้วหลังนักวิจัยแจ้งเข้าไปเพียงแค่หนึ่งวัน ผู้สนใจสามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Twitter ลบหลายพัน Accounts ปลอมที่มุ่งหวังทางการเมืองออกจากระบบ

Twitter ได้ออกมาเปิดเผยว่าได้ทำการลบ Accounts ปลอมออกจากระบบรวมทั้งสิ้น 4,779 รายชื่อ เนื่องจากเชื่อว่า Accounts เหล่านี้ถูกสร้างและใช้งานเพื่อหวังผลทางการเมือง คาดมีส่วนเกี่ยวข้องกับประเทศอิหร่านและรัสเซีย

Microsoft เตือนพบการโจมตีของ Worm ด้วยช่องโหว่บน Exim แล้ว แนะผู้ใช้เร่งอัปเดต

ราว 2 สัปดาห์ก่อนได้มีการแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Exim (MTA) บน Mail Server ซึ่งวันนี้ทาง Microsoft ได้ค้นพบ Linux Worm ที่ใช้งานช่องโหว่นี้เพื่อแพร่ระบาดและติดตั้งตัวขุดเหมืองบน Azure …