นักวิจัยเตือนพบช่องโหว่บน WordPress Plugin แฮ็กเว็บได้ทันที

Luka Šikić นักวิจัยและพัฒนาจาก WebARX ได้ออกมาเตือนว่าพบช่องโหว่บน Plugin ที่ชื่อ Simple Social Button ซึ่งมีผู้ดาวน์โหลดแล้วกว่า 40,000 ครั้ง โดยช่องโหว่สามารถทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้ นอกจากนี้นักวิจัยได้ปล่อยคลิปวีดีโอสาธิตไว้ด้วย

Credit: WordPress

Simple Social Button เป็น Plugin ของ WordPress ที่เอาไว้สนับสนุนในการแชร์ Social Media ต่างๆ โดยนักวิจัยรายงานว่า “พบการออกแบบ flow ไม่เหมาะสมที่ขาดการตรวจสอบสิทธิ์” ดังนั้นแฮ็กเกอร์สามารถลงทะเบียนบัญชีบนเว็บไซต์ใหม่และเข้าไปแก้ไขการตั้งค่าหลักของ WordPress ได้ซึ่งมากเกินกว่าที่ Plugin ตัวนี้ตั้งใจเอาไว้ ไม่เพียงแค่นั้นเพราะการโจมตีอาจทำให้แฮ็กเกอร์เข้าควบคุมไซต์ได้เลยด้วยการติดตั้ง Backdoor หรือยึดบัญชีผู้ดูแล 

นอกจากนี้นักวิจัยเตือนว่าเว็บไซต์ไหนที่มีการเปิดให้ผู้ใช้งานสามารถลงทะเบียนเข้ามาใช้งานจะมีความเสี่ยง ดังนั้นผู้ดูแลควรอัปเดตเป็นเวอร์ชัน 2.0.22 ที่ทางบริษัทเจ้าของ Plugin ได้อัปเดตแล้วหลังนักวิจัยแจ้งเข้าไปเพียงแค่หนึ่งวัน ผู้สนใจสามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Mitsubishi Electric แถลงเหตุการณ์ถูกแฮ็ก

Mitsubishi Electric บริษัทใหญ่ด้านการผลิตอุปกรณ์และเครื่องใช้ไฟฟ้าและยังเป็นคู่ค้าใหญ่ให้รัฐบาลญี่ปุ่นหลายโครงการได้ออกมาแถลงถึงเหตุการณ์ถูกแฮ็ก ซึ่งข้อมูลนี้ถูกรายงานโดยหนังสือพิมพ์ท้องถิ่นอย่าง Asahi Shimbun และ Nikkei

NIST เปิดให้โหลด NIST Privacy Framework เวอร์ชัน 1.0 แล้ว

NIST ได้ปล่อย Framework สำหรับผู้สนใจด้าน Privacy Risk Management เวอร์ชัน 1.0 ให้ผู้สนใจได้เข้าไปศึกษาได้ฟรีแล้ว