ล่าสุดได้มีการพบช่องโหว่บน “Simple Social Button” Plugin ยอดนิยมตัวหนึ่งของผู้ใช้งาน WordPress ที่เอาไว้ติดตั้งในเว็บไซต์สำหรับแชร์ข้อมูลไปยัง Social Media ต่างๆ ซึ่งในตอนนี้มีผู้ดาวน์โหลด Plugin ดังกล่าวไปแล้วกว่า 40,000 ครั้ง
โดย Luka Šikić นักวิจัยจากบริษัทรักษาความปลอดภัย WordPress WebARX ได้ค้นพบปัญหาด้านความปลอดภัยเมื่อสัปดาห์ที่แล้ว และได้มีการรายงานปัญหานี้ให้กับผู้พัฒนาปลั๊กอิน Simple Social Button เพื่อรับทราบ ซึ่งในรายงานนี้เขาอธิบายถึงปัญหาช่องโหว่นี้มันเกิดขึ้นจากขั้นตอนในการออกแบบแอปพลิเคชั่นที่ไม่เหมาะสม และปราศจากการตรวจสอบสิทธิ์
เขาได้บอกว่าช่องโหว่นี้จะทำให้พวกแฮ็กเกอร์สามารถลงทะเบียนบัญชีใหม่บนเว็บไซต์ และสามารถใช้ช่องโหว่นี้เพื่อทำการแก้ไข หรือตั้งค่าหลักของเว็บไซต์ WordPress ของผู้ใช้ ซึ่งถ้าเป็นอย่างนั้นก็จะสามารถทำให้แฮ็กเกอร์เข้ายึดเว็บไซต์ของเราได้ ทั้งการติดตั้ง Backdoor หรือยึดบัญชีผู้ใช้ไปทั้งหมด
ซึ่งหลังจากที่ Luka Šikić ได้แจ้งผู้พัฒนา Plugin ไปเมื่อสัปดาห์ที่แล้ว ก็ได้มีการออกแพทช์มาใหม่ อัพเดทเมื่อวันศุกร์ที่ 8 กุมภาพันธ์ และได้แนะนำให้ผู้ใช้ติดตั้ง Simple Social Buttons เวอร์ชัน 2.0.22 ให้เร็วที่สุด เพื่อป้องกันการตกเป็นเหยื่อของช่องโหว่ดังกล่าว
ในคลิปวิดีโอตัวอย่างที่เขาโพสต์บน YouTube แสดงให้เห็นถึงช่องโหว่ที่เป็นอันตรายนั้น เพราะเกิดจากการเปลี่ยนที่อยู่อีเมลที่เชื่อมโยงกับบัญชีผู้ดูแลระบบของเว็บไซต์ WordPress
Credit : zdnet
Facebook Comments