Breaking News

นักวิจัยเตือนพบช่องโหว่บน WordPress Plugin แฮ็กเว็บได้ทันที

Luka Šikić นักวิจัยและพัฒนาจาก WebARX ได้ออกมาเตือนว่าพบช่องโหว่บน Plugin ที่ชื่อ Simple Social Button ซึ่งมีผู้ดาวน์โหลดแล้วกว่า 40,000 ครั้ง โดยช่องโหว่สามารถทำให้ผู้โจมตีสามารถเข้าควบคุมเว็บไซต์ได้ นอกจากนี้นักวิจัยได้ปล่อยคลิปวีดีโอสาธิตไว้ด้วย

Credit: WordPress

Simple Social Button เป็น Plugin ของ WordPress ที่เอาไว้สนับสนุนในการแชร์ Social Media ต่างๆ โดยนักวิจัยรายงานว่า “พบการออกแบบ flow ไม่เหมาะสมที่ขาดการตรวจสอบสิทธิ์” ดังนั้นแฮ็กเกอร์สามารถลงทะเบียนบัญชีบนเว็บไซต์ใหม่และเข้าไปแก้ไขการตั้งค่าหลักของ WordPress ได้ซึ่งมากเกินกว่าที่ Plugin ตัวนี้ตั้งใจเอาไว้ ไม่เพียงแค่นั้นเพราะการโจมตีอาจทำให้แฮ็กเกอร์เข้าควบคุมไซต์ได้เลยด้วยการติดตั้ง Backdoor หรือยึดบัญชีผู้ดูแล 

นอกจากนี้นักวิจัยเตือนว่าเว็บไซต์ไหนที่มีการเปิดให้ผู้ใช้งานสามารถลงทะเบียนเข้ามาใช้งานจะมีความเสี่ยง ดังนั้นผู้ดูแลควรอัปเดตเป็นเวอร์ชัน 2.0.22 ที่ทางบริษัทเจ้าของ Plugin ได้อัปเดตแล้วหลังนักวิจัยแจ้งเข้าไปเพียงแค่หนึ่งวัน ผู้สนใจสามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Pulse Secure เพิ่มเทคโนโลยี Software Define Perimeter ตอบโจทย์ Zero-trust

Pulse Secure ได้ประกาศออกเทคโนโลยี Software Define Perimeter (SDP) เป็นส่วนหนึ่งในแพลตฟอร์ตด้านการทำ Secure Access ของตน

Kaspersky Lab แจกฟรีเครื่องมือ Threat Intelligence ตัวใหม่ ‘CyberTrace’

Kaspersky Lab ได้ประกาศออกเครื่องมือด้าน Threat Intelligence ที่ชื่อ ‘CyberTrace’ ทั้งนี้จะสามารถรวมรวมข้อมูลภัยคุกคามจากหลายแหล่งที่มาและสามารถรวมเข้ากับโซลูชัน SIEM ต่างๆ ได้ ซึ่งข้อดีคือ ‘ฟรี’