IBM Flashsystem

เตือนพบช่องโหว่ร้ายแรงบนปลั๊กอินของ WordPress แนะผู้ใช้เร่งอัปเดต

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู้โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ

Credit: ShutterStock.com

ThemeGrill Demo Importer เป็นปลั๊กอินยอดนิยมตัวหนึ่งในกลุ่มผู้ดูแล WordPress ที่ช่วยให้สามารถ Demo Content, Widget และการตั้งค่าธีมจากบริษัท ThemeGrill ซึ่งมีผู้ติดตั้งแล้วกว่า 200,000 ไซต์

ประเด็นคือ WebARX ได้พบช่องโหว่ RCE ในปลั๊กอินที่ทำให้คนร้ายสามารถส่ง Payload พิเศษเข้าไปใช้งานฟังก์ชันในปลั๊กอินให้รีเซ็ตค่าเป็น Default นอกจากนี้หากฐานข้อมูลใช้ Username เป็น admin อยู่แฮ็กเกอร์จะได้รับสิทธิ์เป็นผู้ดูแลทันทีด้วย ปัจจุบันช่องโหว่ส่งผลกระทบกับปลั๊กอินเวอร์ชัน 1.3.4 – 1.6.1 ดังนั้นสามารถอัปเดตป้องกันได้ในเวอร์ชัน 1.6.2 โดยด่วนครับ

ที่มา :  https://www.zdnet.com/article/bug-in-wordpress-plugin-can-let-hackers-wipe-up-to-200000-sites/ และ  https://www.securityweek.com/flaw-wordpress-themes-plugin-allowed-hackers-become-site-admin

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Pure Storage เปิดตัว Enterprise Data Cloud แพลตฟอร์มจัดการข้อมูลองค์กรแบบครบวงจร

Pure Storage ประกาศเปิดตัว Enterprise Data Cloud (EDC) แพลตฟอร์มการจัดการข้อมูลและ storage รูปแบบใหม่ที่ช่วยให้องค์กรจัดการข้อมูลได้ง่ายขึ้นผ่านการควบคุมแบบรวมศูนย์ พร้อมความสามารถ automation และ AI ในการจัดการ …

SYMPHONY CYBER SHIELD เปิดตัวโลโก้ใหม่ ยกระดับบริการความปลอดภัยทางไซเบอร์ สำหรับองค์กรยุคดิจิทัล [Guest Post]

บริษัท ซิมโฟนี่ คอมมูนิเคชั่น จำกัด (มหาชน) หรือ SYMPHONY COMMUNICATION ผู้นำด้านการให้บริการโครงข่ายที่มีคุณภาพสูงในประเทศไทยซึ่งครอบคลุมทั้งในและระหว่างประเทศ ได้เปิดตัวโลโก้ใหม่ “SYMPHONY CYBER SHIELD” เพื่อสะท้อนภาพลักษณ์ของบริการด้านความปลอดภัยทางไซเบอร์ (Cybersecurity) …