ข้อบกพร่องในสอง เวิร์ดเพรส ปลั๊กอินแบบกำหนดเองทำให้ผู้ใช้เสี่ยงต่อการโจมตีด้วยสคริปต์ข้ามไซต์ (XSS) ตามรายงานล่าสุด
นักวิจัย Patchstack Rafie Muhammad เพิ่งค้นพบข้อบกพร่อง XSS ใน ฟิลด์ที่กำหนดเองขั้นสูง และ Pro ฟิลด์ที่กำหนดเองขั้นสูง ปลั๊กอินซึ่งมีผู้ใช้มากกว่า 2 ล้านคนทั่วโลกติดตั้งใช้งานอยู่ คอมพิวเตอร์ที่หลับไหล.
วิดีโอแนะนำ
ข้อบกพร่องที่เรียกว่า CVE-2023-30777 ถูกค้นพบเมื่อวันที่ 2 พฤษภาคม และได้รับความสำคัญว่ามีความรุนแรงสูง WP Engine ผู้พัฒนาปลั๊กอินได้จัดเตรียมการอัปเดตความปลอดภัยเวอร์ชัน 6.1.6 อย่างรวดเร็วภายในไม่กี่วันหลังจากเรียนรู้เกี่ยวกับช่องโหว่ในวันที่ 4 พฤษภาคม
ที่เกี่ยวข้อง
- ช่องโหว่ Twitter นี้อาจเปิดเผยเจ้าของบัญชีเบิร์น
- Tumblr สัญญาว่าจะแก้ไขข้อผิดพลาดที่ทำให้ข้อมูลผู้ใช้ถูกเปิดเผย
ที่ได้รับความนิยม ผู้สร้างฟิลด์ที่กำหนดเอง อนุญาตให้ผู้ใช้ควบคุมระบบจัดการเนื้อหาได้อย่างเต็มที่จากส่วนหลัง ด้วยหน้าจอแก้ไขของ WordPress ข้อมูลฟิลด์ที่กำหนดเอง และคุณสมบัติอื่นๆ
อย่างไรก็ตาม ข้อบกพร่องของ XSS นั้นสามารถพบเห็นได้ทั่วไปและทำงานโดยการใส่ "สคริปต์ที่เป็นอันตราย" เว็บไซต์ที่ผู้อื่นเข้าดู ทำให้เกิดการเรียกใช้โค้ดบนเว็บเบราว์เซอร์ของผู้เข้าชม” Bleeping เพิ่มคอมพิวเตอร์
สิ่งนี้อาจทำให้ผู้เยี่ยมชมเว็บไซต์ถูกขโมยข้อมูลจากเว็บไซต์ WordPress ที่ติดไวรัสได้ Patchstack ตั้งข้อสังเกต
ข้อมูลเฉพาะเกี่ยวกับช่องโหว่ XSS บ่งชี้ว่าอาจถูกเรียกโดย "การติดตั้งเริ่มต้นหรือการกำหนดค่าของปลั๊กอิน Advanced Custom Fields" อย่างไรก็ตามผู้ใช้จะต้องมี เข้าสู่ระบบเพื่อเข้าถึงปลั๊กอิน Advanced Custom Fields เพื่อเปิดใช้งานตั้งแต่แรก ซึ่งหมายความว่านักแสดงที่ไม่ดีจะต้องหลอกล่อให้ใครบางคนเข้าถึงเพื่อเรียกใช้ข้อบกพร่อง นักวิจัยกล่าวเสริม
ข้อบกพร่อง CVE-2023-30777 สามารถพบได้ใน admin_body_class ตัวจัดการฟังก์ชันซึ่งตัวจัดการที่ไม่ดีสามารถแทรกโค้ดที่เป็นอันตรายได้ โดยเฉพาะอย่างยิ่ง จุดบกพร่องนี้ใส่เพย์โหลดของ DOM XSS ลงในโค้ดที่ร่างขึ้นอย่างไม่ถูกต้อง ซึ่งไม่ถูกดักจับโดยเอาต์พุตที่ผ่านการฆ่าเชื้อของโค้ด ซึ่งเป็นมาตรการรักษาความปลอดภัยประเภทหนึ่ง ซึ่งเป็นส่วนหนึ่งของข้อบกพร่อง
การแก้ไขในเวอร์ชัน 6.1.6 ได้แนะนำ ตะขอ admin_body_class ซึ่งขัดขวางการโจมตี XSS ไม่ให้ดำเนินการได้
ผู้ใช้ ฟิลด์ที่กำหนดเองขั้นสูง และ Pro ฟิลด์ที่กำหนดเองขั้นสูง ควรอัปเกรดปลั๊กอินเป็นเวอร์ชัน 6.1.6 หรือใหม่กว่า ผู้ใช้จำนวนมากยังคงไวต่อการถูกโจมตี โดยประมาณ 72.1% ของผู้ใช้ปลั๊กอิน WordPress.org มีเวอร์ชันที่ใช้งานอยู่ ต่ำกว่า 6.1 สิ่งนี้ทำให้เว็บไซต์ของพวกเขาเสี่ยงต่อการโจมตี XSS ไม่เพียงเท่านั้น แต่ยังรวมถึงข้อบกพร่องอื่น ๆ อีกด้วย พูดว่า.
คำแนะนำของบรรณาธิการ
- แฮ็กเกอร์ใช้หน้า WordPress DDoS ปลอมเพื่อเปิดมัลแวร์
- แล็ปท็อป Lenovo ของคุณอาจมีข้อบกพร่องด้านความปลอดภัยร้ายแรง
ยกระดับไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการเชิงลึก และการแอบดูที่ไม่ซ้ำใคร
