พบช่องโหว่ Zero-day ใน SMTP Plugin บน WordPress

มีการแจ้งเตือนช่องโหว่ Zero-day ในปลั๊กอินของ WordPress ที่ชื่อ ‘Easy WP SMTP’ ซึ่งนำไปสู่การลอบขโมยบัญชีของแอดมินได้

Credit: WordPress

Easy WP SMTP เป็นปลั๊กอินจากค่าย NinTechNet ใช้สำหรับตั้งค่า SMTP บนเว็บไซต์เพื่อส่งอีเมลขาออก โดยเวอร์ชัน 1.4.2 ลงไปมีช่องโหว่ในส่วนของ Debug Log ที่ทำให้คนร้ายสามารถดู Log ของการรีเซ็ตรหัสผ่านที่มีลิงก์ส่งออกไป ด้วยเหตุนี้เองคนร้ายจึงสามารถใช้ช่องโหว่นี้เพื่อขโมยบัญชีแอดมินได้นั่นเอง ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ที่เวอร์ชัน 1.4.4 

ที่มา : https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-to-reset-admin-account-passwords/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …