Antivirus_logo
      
ลูกค้าทั่วไป
ลูกค้าองค์กร
by สินค้าไอทีราคาถูก โดย Thaiware Shop

Webmaster งานเข้า! พบ Wordpress Plugin ยอดนิยม Forminator มีช่องโหว่ร้ายแรงให้แฮกเกอร์ยึดเว็บได้

เมื่อ :
ผู้เข้าชม : 1,487
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 1,487
เขียนโดย :

ไม่ว่าจะผ่านมากี่ยุคกี่สมัย เว็บไซต์ก็ยังคงเป็นเครื่องมือหลักในการสร้างธุรกิจและตัวตนที่มีความน่าเชื่อถืออยู่ เมื่อเทียบกับการใช้งานเครื่องมืออื่น ๆ เช่น โซเชียลมีเดีย นั่นทำให้การสร้างเว็บไซต์นั้นยังเป็นที่นิยมอยู่ และเครื่องมือสำหรับสร้างเว็บไซต์ที่เป็นที่นิยมมากที่สุดคงหนีไม่พ้น Wordpress ที่มีกลุ่มผู้ใช้งานกว้างขวาง มีเครื่องมือสนับสนุนมากมาย และแน่นอน รวมไปถึงมีแฮ็กเกอร์จ้องโจมตีอยู่เป็นจำนวนมากด้วย สำหรับเว็บมาสเตอร์ทั้งหลายเมื่อเห็นข่าวนี้อาจต้องเพิ่มความระมัดระวังตัวที่มากยิ่งขึ้น

จากรายงานโดยเว็บไซต์ Bleeping Computing ทางหน่วยงาน JPCERT ซึ่งเป็นองค์กรด้านความปลอดภัยทางไซเบอร์จากประเทศญี่ปุ่น ได้ค้นพบช่องโหว่ร้ายแรงบนปลั๊กอิน Forminator ของเครื่องมือ Wordpress ซึ่งเป็นปลั๊กอินที่พัฒนาขึ้นมาโดย WPMU Dev สำหรับใช้ในการสร้าง รายชื่อผู้ติดต่อแบบดัดแปลงได้ (Custom Contact), Feedback, Quiz, แบบสำรวจ และแบบสอบถาม, รวมไปถึงการสร้างหน้าจอส่วนของการชำระเงิน (Payment) อย่างง่ายดายเพียงลากวาง

Webmaster งานเข้า! พบ Wordpress Plugin ยอดนิยม Forminator มีช่องโหว่ร้ายแรงให้แฮกเกอร์ยึดเว็บได้
ภาพจาก https://wordpress.org/plugins/forminator/advanced/

โดยทีมงาน JPCERT ได้ค้นพบช่องโหว่ (CVE-2024-28890, CVSS v3:9.8) ที่เป็นช่องโหว่ของตัวปลั๊กอินที่สามารถเปิดทางให้กลุ่มผู้ไม่ประสงค์ดีสามารถอัปโหลดมัลแวร์ขึ้นสู่ตัวเว็บไซต์ของเหยื่อได้ ซึ่งการโจมตีนั้นรวมไปถึงการขโมยข้อมูลสำคัญบนเว็บไซต์ การใช้ปลั๊กอินดัดแปลงเว็บไซต์ไปในทิศทางที่ผู้สร้างไม่ต้อง รวมไปถึงการใช้ช่องโหว่เพื่อการโจมตีในรูปแบบ Denial-of-Service (DoS) อีกด้วย

ซึ่งรายละเอียดของช่องโหว่ต่าง ๆ บนปลั๊กอิน Forminator นั้น ทาง JPCERT ได้ระบุไว้โดยสังเขปบนเว็บไซต์ดังนี้

  • CVE-2024-28890 เป็นช่องโหว่ด้านการตรวจสอบความถูกต้องของไฟล์ระหว่างการอัปโหลด ซึ่งช่วยเปิดทางให้ผู้โจมตีสามารถอัปโหลดมัลแวร์ขึ้นเว็บไซต์ได้ กระทบ Forminator รุ่น 1.29.0 หรือเก่ากว่า
  • CVE-2024-31077 เป็นช่องโหว่ด้านการโจมตีด้วยการยิงคำสั่งบนภาษา SQL ที่ช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบและจัดการฐานข้อมูล SQL บนเว็บไซต์ได้ กระทบ Forminator รุ่น 1.29.3 หรือเก่ากว่า
  • CVE-2024-31857 เป็นช่องโหว่ของสคริปต์แบบข้ามไซต์ (Cross Site Script XSS) ที่เปิดทางให้ผู้โจมตีสามารถรันสคริปต์ HTML และสคริปต์อื่น ๆ บนเว็บเบราว์เซอร์ของเหยื่อได้ กระทบ Forminator รุ่น 1.15.4 หรือเก่ากว่า

โดยทางทีมวิจัยแนะนำให้เว็บมาสเตอร์จัดการอัปเดตปลั๊กอินดังกล่าวให้เป็นรุ่นล่าสุดโดยด่วน เพื่ออุดช่องโหว่ต่าง ๆ ที่กล่าวมาทั้งหมด

ต้นฉบับ :
ที่มา :
logo_tk
พบ แฮ็กเกอร์จากเวียดนามเป็นต้นเหตุของการขโมยข้อมูลทางการเงินทั่วเอเชีย
logo_tk
แฮกเกอร์ใช้ Microsoft Graph API เป็นช่องทางสื่อสารของมัลแวร์
logo_tk
พบมัลแวร์ Cuckoo ปลอมตัวเป็นแอปดูดเพลงจาก Spotify เป็น MP3
ตั้งค่าความเป็นส่วนตัว นโยบายความเป็นส่วนตัว นโยบายคุกกี้
Copyright Notice : All Rights Reserved. Copyright 1999-2024
Antivirus.in.th is owned and operated by Thaiware Communication Co., Ltd.