Antivirus_logo
      
ลูกค้าทั่วไป
ลูกค้าองค์กร
by สินค้าไอทีราคาถูก โดย Thaiware Shop

พบปลั๊กอิน Wordpress เปิดช่องโหว่ให้แฮกเกอร์ขึ้นเป็นแอดมินเอง ถูกติดตั้งไปกว่า 5 หมื่นครั้งแล้ว

เมื่อ :
ผู้เข้าชม : 2,248
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 2,248
เขียนโดย :

ความปลอดภัยกับตัวเว็บไซต์เรียกได้ว่าเป็นไม้เบื่อไม้เมากับเหล่าผู้ดูแลเว็บมาทุกยุคทุกสมัย ยิ่งกับ Wordpress ที่มีผู้ใช้งานสูงแต่ก็มีข่าวเรื่องช่องโหว่ความปลอดภัยออกมาเป็นประจำ และวันนี้ก็เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการรายงานถึงการตรวจพบช่องโหว่บน Plugin ที่มีชื่อว่า Profile Builder และ Profile Builder Pro ซึ่งเป็น Plugin ที่ช่วยให้ผู้ใช้งานเว็บไซต์จากภายนอกที่ต้องการสมัครสมาชิกใช้งานนั้น สามารถลงทะเบียนได้อย่างสะดวก และผู้ดูแลสามารถควบคุมบทบาทหน้าที่ของสมาชิกที่ลงทะเบียนเข้ามาได้ ซึ่งถูกพัฒนาโดย Cozmoslabs และมีผู้ดาวน์โหลดไปใช้งานกับเว็บไซต์ตนเองมากกว่า 5 หมื่นรายแล้วในปัจจุบัน

โดยช่องโหว่ดังกล่าวนั้นมีชื่อว่า CVE-2024-6695 ซึ่งเป็นช่องโหว่ที่เปิดโอกาสให้แฮกเกอร์สามารถอัปเกรดสิทธิ์ในการเข้าถึงการทำงานของระบบให้ถึงระดับผู้ดูแล (Administrator หรือ Admin) ได้โดยที่ไม่ต้องมีรหัสผ่านแต่อย่างใด โดยการทำงานของช่องโหว่ดังกล่าวนั้นมาจากการที่ ตัว Plugin จะทำการตรวจสอบที่อยู่อีเมลของผู้ลงทะเบียนในระหว่างขั้นตอนการลงทะเบียนเป็นสมาชิกเว็บไซต์เพื่อยืนยันว่าอีเมลดังกล่าวนั้นไม่เคยถูกลงทะเบียนมาก่อน

โดยขั้นตอนการทำงานเบื้องต้น จะมีดังนี้

  • Email Validation - ตรวจสอบอีเมลว่ามีการกรอกถูกต้องไหม และถูกใช้งานไปแล้วหรือยัง
  • Automatic Login - หลังจากการตรวจสอบ และลงทะเบียนเสร็จเรียบร้อย ผู้ใช้งานจะเข้าสู่ระบบโดยอัตโนมัติ
  • Nonce Verification - แล้วตัว Plugin จะทำการออก Nonce (Number Used Once หรือ รหัสเพื่อใช้งานครั้งเดียว) และ User ID ที่มีความสอดคล้องกับสิทธิ์ที่ผู้ใช้งานพึงได้รับ เพื่อให้ผู้ใช้งานสามารถล็อกอินกลับเข้ามาได้

จากแหล่งข่าว ข้อมูลในเชิงเทคนิคสำหรับการใช้งานช่องว่างนี้ไม่ได้ถูกระบุอย่างละเอียดนัก แต่มีการกล่าวว่าแฮกเกอร์สามารถใช้วิธีการแทรกแซงขั้นตอนการลงทะเบียน 3 ขั้นที่กล่าวมาข้างต้น เพื่อให้สามารถได้สิทธิ์ในการเข้าถึงระบบในระดับผู้ดูแล ทั้งยังสามารถเข้าถึงระบบได้อย่างอัตโนมัติโดยที่ไม่ต้องมีรหัสผ่านได้อีกด้วย

แต่ยังคงมีข่าวดีนั้นคือ ทางทีมงาน CozmosLabs ได้ทำการออกอัปเดตที่อุดช่องโหว่ดังกล่าวลงเป็นที่เรียบร้อยแล้ว ซึ่งผู้ที่ใช้งาน Plugin ตัวดังกล่าวจะต้องอัปเดตเป็นเวอร์ชัน 3.11.9 โดยด่วน เพื่อปิดช่องโหว่ดังกล่าว นอกจากการอัปเดตแล้ว ผู้ดูแลระบบควรทำการตรวจสอบรายชื่อสมาชิกผู้ใช้งานบนเว็บไซต์ และทำการลบหรือแบนผู้ใช้งานที่แปลกปลอมหรือมีสิทธิ์มากเกินกว่าที่กำหนดไว้ออกไป เพื่อความปลอดภัยของตัวเว็บไซต์

ต้นฉบับ :
ที่มา :
logo_tk
Google เริ่มปล่อย AI สำหรับตรวจจับข้อความ Scam บน Android ให้ใช้งานแล้ว
logo_tk
Kaspersky เผยข้อมูลสุดตะลึง ! การใช้มัลแวร์ปล้นเงินบนมือถือเพิ่มขึ้นมากกว่า 3 เท่าตัวในปี ค.ศ. 2024
logo_tk
Kaspersky เตือน พบข้อมูลบัตรเครดิตกว่า 2 ล้านใบ ที่ถูกมัลแวร์ขโมยมา วางขายในตลาดมืด
ตั้งค่าความเป็นส่วนตัว นโยบายความเป็นส่วนตัว นโยบายคุกกี้
Copyright Notice : All Rights Reserved. Copyright 1999-2025
Antivirus.in.th is owned and operated by Thaiware Communication Co., Ltd.