Breaking News

นักวิจัยเตือนพบช่องโหว่บน WordPress Plugin แฮ็กเว็บได้ทันที

Luka Šikić นักวิจัยและพัฒนาจาก WebARX ได้ออกมาเตือนว่าพบช่องโหว่บน Plugin ที่ชื่อ Simple Social Button ซึ่งมีผู้ดาวน์โหลดแล้วกว่า 40,000 ครั้ง โดยช่องโหว่สามารถทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้ นอกจากนี้นักวิจัยได้ปล่อยคลิปวีดีโอสาธิตไว้ด้วย

Credit: WordPress

Simple Social Button เป็น Plugin ของ WordPress ที่เอาไว้สนับสนุนในการแชร์ Social Media ต่างๆ โดยนักวิจัยรายงานว่า “พบการออกแบบ flow ไม่เหมาะสมที่ขาดการตรวจสอบสิทธิ์” ดังนั้นแฮ็กเกอร์สามารถลงทะเบียนบัญชีบนเว็บไซต์ใหม่และเข้าไปแก้ไขการตั้งค่าหลักของ WordPress ได้ซึ่งมากเกินกว่าที่ Plugin ตัวนี้ตั้งใจเอาไว้ ไม่เพียงแค่นั้นเพราะการโจมตีอาจทำให้แฮ็กเกอร์เข้าควบคุมไซต์ได้เลยด้วยการติดตั้ง Backdoor หรือยึดบัญชีผู้ดูแล 

นอกจากนี้นักวิจัยเตือนว่าเว็บไซต์ไหนที่มีการเปิดให้ผู้ใช้งานสามารถลงทะเบียนเข้ามาใช้งานจะมีความเสี่ยง ดังนั้นผู้ดูแลควรอัปเดตเป็นเวอร์ชัน 2.0.22 ที่ทางบริษัทเจ้าของ Plugin ได้อัปเดตแล้วหลังนักวิจัยแจ้งเข้าไปเพียงแค่หนึ่งวัน ผู้สนใจสามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft แพตช์อุดช่องโหว่เดือนสิงหาคม มี Zero-day 2 รายการถูกใช้แล้ว แนะเร่งอัปเดต

สำหรับแพตช์ประจำเดือนสิงหาคมในส่วนผลิตภัณฑ์จาก Microsoft นั้น มีจำนวน 120 รายการ โดยกว่า 17 รายการเป็นช่องโหว่ร้ายแรง ซึ่ง 2 รายการนั้นพบการใช้โจมตีจริงแล้ว ด้วยเหตุนี้จึงเตือนให้ผู้ใช้งานกรุณาอัปเดตครับ

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี