ตามรายงานของ The Hacker News WordPress ได้เปิดตัวเวอร์ชัน 6.4.2 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งแฮกเกอร์อาจใช้ประโยชน์ได้ร่วมกับจุดบกพร่องอื่นๆ เพื่อรันโค้ด PHP แบบสุ่มบนเว็บไซต์ที่ยังมีช่องโหว่นี้อยู่
บริษัทระบุว่าช่องโหว่การรันโค้ดจากระยะไกลนั้นไม่สามารถถูกใช้ประโยชน์ได้โดยตรงในระบบหลัก แต่ทีมงานด้านความปลอดภัยเชื่อว่าช่องโหว่นี้มีศักยภาพที่จะทำให้เกิดช่องโหว่ที่มีความร้ายแรงสูงเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะอย่างยิ่งในระบบการติดตั้งหลายไซต์
ตามที่บริษัทรักษาความปลอดภัย Wordfence ระบุ ปัญหาดังกล่าวมีสาเหตุมาจากคลาสที่เปิดตัวในเวอร์ชัน 6.4 เพื่อปรับปรุงการแยกวิเคราะห์ HTML ในหน้าจอตัวแก้ไขบล็อก ด้วยวิธีนี้ แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อแทรกวัตถุ PHP ที่มีอยู่ในปลั๊กอินหรือธีม เพื่อรวมเข้าด้วยกันเพื่อรันโค้ดตามอำเภอใจและควบคุมเว็บไซต์เป้าหมายได้ ส่งผลให้ผู้โจมตีสามารถลบไฟล์โดยสุ่ม ดึงข้อมูลที่ละเอียดอ่อน หรือรันโค้ดได้
เนื่องจากเป็นแพลตฟอร์มการจัดการเนื้อหาที่ได้รับความนิยม WordPress จึงเป็นเป้าหมายในการใช้ประโยชน์ของแฮกเกอร์ด้วยเช่นกัน
ในคำแนะนำที่คล้ายกัน Patchstack กล่าวว่ามีการพบ exploit chain บน GitHub เมื่อวันที่ 17 พฤศจิกายน และได้เพิ่มเข้าในโปรเจกต์ PHP Common Utility Chain (PHPGGC) แล้ว ผู้ใช้ควรตรวจสอบเว็บไซต์ของตนด้วยตนเองเพื่อให้แน่ใจว่าได้รับการอัปเดตเป็นเวอร์ชันล่าสุดแล้ว
WordPress เป็นระบบจัดการเนื้อหาที่ใช้งานง่ายฟรีและได้รับความนิยมทั่วโลก ด้วยการติดตั้งง่ายและการสนับสนุนที่ครอบคลุม ผู้ใช้จึงสร้างเว็บไซต์ทุกประเภทได้อย่างรวดเร็วจากร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา...
ตามข้อมูลจาก W3Techs WordPress จะเป็นพลังขับเคลื่อนเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต 45.8% ในปี 2023 เพิ่มขึ้นจาก 43.2% ในปี 2022 นั่นหมายความว่าเว็บไซต์มากกว่า 2 ใน 5 แห่งจะขับเคลื่อนด้วย WordPress
ลิงค์ที่มา
การแสดงความคิดเห็น (0)