Black Hat Asia 2023

เตือนพบช่องโหว่ร้ายแรงบนปลั๊กอินของ WordPress แนะผู้ใช้เร่งอัปเดต

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู้โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ

Credit: ShutterStock.com

ThemeGrill Demo Importer เป็นปลั๊กอินยอดนิยมตัวหนึ่งในกลุ่มผู้ดูแล WordPress ที่ช่วยให้สามารถ Demo Content, Widget และการตั้งค่าธีมจากบริษัท ThemeGrill ซึ่งมีผู้ติดตั้งแล้วกว่า 200,000 ไซต์

ประเด็นคือ WebARX ได้พบช่องโหว่ RCE ในปลั๊กอินที่ทำให้คนร้ายสามารถส่ง Payload พิเศษเข้าไปใช้งานฟังก์ชันในปลั๊กอินให้รีเซ็ตค่าเป็น Default นอกจากนี้หากฐานข้อมูลใช้ Username เป็น admin อยู่แฮ็กเกอร์จะได้รับสิทธิ์เป็นผู้ดูแลทันทีด้วย ปัจจุบันช่องโหว่ส่งผลกระทบกับปลั๊กอินเวอร์ชัน 1.3.4 – 1.6.1 ดังนั้นสามารถอัปเดตป้องกันได้ในเวอร์ชัน 1.6.2 โดยด่วนครับ

ที่มา :  https://www.zdnet.com/article/bug-in-wordpress-plugin-can-let-hackers-wipe-up-to-200000-sites/ และ  https://www.securityweek.com/flaw-wordpress-themes-plugin-allowed-hackers-become-site-admin


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …