พบช่องโหว่ XSS บน Magento เว็บค้าออนไลน์เสี่ยงถูกไฮแจ็ค

สัปดาห์ที่ผ่านมา Magento ได้ออกแพทช์ชุดใหญ่สำหรับอุดช่องโหว่แพลทฟอร์ม E-commerce ของตน ซึ่งหนึ่งในนั้นเป็นช่องโหว่ Cross-site Scripting (XSS) ความรุนแรงสูงที่ช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อเข้าควบคุมเว็บไซต์ได้ แนะนำให้ผู้ดูแลระบบรีบอุดช่องโหว่โดยเร็ว

ช่องโหว่ XSS นี้เกิดจากการตรวจสอบ Input จากผู้ใช้งานไม่ดีพอ ส่งผลให้แฮ็คเกอร์สามารถแทรกโค้ด JavaScript ลงไปในช่องใส่อีเมลบนหน้าสมัครลงทะเบียนของลูกค้าได้ จากการตรวจสอบพบว่าเป็นบั๊คบน Library หลักของ Magento ในส่วน Backend ของผู้ดูแลระบบ ส่งผลให้ JavaScript ดังกล่าวจะถูก Execute ด้วยสิทธิ์ของ Admin ในส่วนของ Backend ซึ่งเสี่ยงต่อการถูกไฮแจ็คเว็บไซต์ทั้งหมดได้

เวอร์ชันที่ได้รับผลกระทบประกอบด้วย Magent CE เวอร์ชันก่อน 1.9.2.3 และ Magento EE เวอร์ชันก่อน 1.14.2.3 ซึ่งแนะนำให้ผู้ดูแลระบบรีบอัพเดทแพทช์โดยเร็ว เนื่องจากการป้องกันช่องโหว่นี้ด้วยตนเองทำได้ค่อนข้างยาก เว้นแต่จะมี Web Application Firewall เข้ามาช่วย

นอกจากช่องโหว่ XSS ที่ช่วยให้แฮ็คเกอร์เข้าควบคุมเว็บไซต์ได้แล้ว ยังมีอีกช่องโหว่ XSS หนึ่งที่เกิดจากการตรวจสอบช่อง Comment ไม่ดีพอ ส่งผลให้สามารถแทรกโค้ด JavaScript เข้ามายังฐานข้อมูลได้ เมื่อ Admin เรียกดูข้อมูลดังกล่าว โค้ด JavaScript ก็จะถูกรันที่ฝั่งเซิฟเวอร์ทันที ช่องโหว่นี้ส่งผลกระทบต่อ Magento ทุกเวอร์ชันที่ได้กล่าวไปก่อนหน้านี้ รวมถึง Magento 2 CE และ EE เวอร์ชันก่อน 2.0.1

ที่มา: http://www.net-security.org/secworld.php?id=19365

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้