นักวิจัยเตือนพบช่องโหว่บน WordPress Plugin แฮ็กเว็บได้ทันที

Luka Šikić นักวิจัยและพัฒนาจาก WebARX ได้ออกมาเตือนว่าพบช่องโหว่บน Plugin ที่ชื่อ Simple Social Button ซึ่งมีผู้ดาวน์โหลดแล้วกว่า 40,000 ครั้ง โดยช่องโหว่สามารถทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้ นอกจากนี้นักวิจัยได้ปล่อยคลิปวีดีโอสาธิตไว้ด้วย

Credit: WordPress

Simple Social Button เป็น Plugin ของ WordPress ที่เอาไว้สนับสนุนในการแชร์ Social Media ต่างๆ โดยนักวิจัยรายงานว่า “พบการออกแบบ flow ไม่เหมาะสมที่ขาดการตรวจสอบสิทธิ์” ดังนั้นแฮ็กเกอร์สามารถลงทะเบียนบัญชีบนเว็บไซต์ใหม่และเข้าไปแก้ไขการตั้งค่าหลักของ WordPress ได้ซึ่งมากเกินกว่าที่ Plugin ตัวนี้ตั้งใจเอาไว้ ไม่เพียงแค่นั้นเพราะการโจมตีอาจทำให้แฮ็กเกอร์เข้าควบคุมไซต์ได้เลยด้วยการติดตั้ง Backdoor หรือยึดบัญชีผู้ดูแล 

นอกจากนี้นักวิจัยเตือนว่าเว็บไซต์ไหนที่มีการเปิดให้ผู้ใช้งานสามารถลงทะเบียนเข้ามาใช้งานจะมีความเสี่ยง ดังนั้นผู้ดูแลควรอัปเดตเป็นเวอร์ชัน 2.0.22 ที่ทางบริษัทเจ้าของ Plugin ได้อัปเดตแล้วหลังนักวิจัยแจ้งเข้าไปเพียงแค่หนึ่งวัน ผู้สนใจสามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …