ตามรายงานของ The Hacker News WordPress ได้เปิดตัวเวอร์ชัน 6.4.2 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งแฮกเกอร์อาจใช้ประโยชน์ได้ร่วมกับจุดบกพร่องอื่นๆ เพื่อรันโค้ด PHP แบบสุ่มบนเว็บไซต์ที่ยังมีช่องโหว่นี้อยู่
บริษัทระบุว่าช่องโหว่การรันโค้ดจากระยะไกลไม่สามารถถูกใช้ประโยชน์ได้โดยตรงในระบบหลัก แต่ทีมงานด้านความปลอดภัยเชื่อว่าช่องโหว่นี้มีศักยภาพที่จะทำให้เกิดช่องโหว่ที่มีความร้ายแรงสูงเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะอย่างยิ่งในระบบการติดตั้งหลายไซต์
บริษัทรักษาความปลอดภัย Wordfence ระบุว่าปัญหาเกิดจากคลาสที่เปิดตัวในเวอร์ชัน 6.4 เพื่อปรับปรุงการแยกวิเคราะห์ HTML ในโปรแกรมแก้ไขบล็อก ด้วยวิธีนี้ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อแทรกวัตถุ PHP ที่มีอยู่ในปลั๊กอินหรือธีมที่สามารถรวมกันเพื่อรันโค้ดตามอำเภอใจและควบคุมเว็บไซต์เป้าหมายได้ ส่งผลให้ผู้โจมตีสามารถลบไฟล์ตามอำเภอใจ ดึงข้อมูลที่ละเอียดอ่อน หรือรันโค้ดได้
เนื่องจากเป็นแพลตฟอร์มการจัดการเนื้อหาที่ได้รับความนิยม WordPress จึงเป็นเป้าหมายในการใช้ประโยชน์ของแฮกเกอร์ด้วยเช่นกัน
ในคำแนะนำที่คล้ายกัน Patchstack กล่าวว่าพบห่วงโซ่ช่องโหว่บน GitHub เมื่อวันที่ 17 พฤศจิกายน และถูกเพิ่มเข้าในโปรเจกต์ PHP Common Utility Chains (PHPGGC) ผู้ใช้ควรตรวจสอบเว็บไซต์ของตนเองด้วยตนเองเพื่อให้แน่ใจว่าได้อัปเดตเป็นเวอร์ชันล่าสุดแล้ว
WordPress เป็นระบบจัดการเนื้อหาที่ใช้งานง่ายและเป็นที่นิยมทั่วโลก โดยติดตั้งง่ายและรองรับอย่างครอบคลุม ผู้ใช้จึงสร้างเว็บไซต์ทุกประเภทได้อย่างรวดเร็วจากร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา...
ตามข้อมูลจาก W3Techs WordPress จะเป็นพลังขับเคลื่อนเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต 45.8% ในปี 2023 เพิ่มขึ้นจาก 43.2% ในปี 2022 นั่นหมายความว่าเว็บไซต์มากกว่า 2 ใน 5 แห่งจะขับเคลื่อนด้วย WordPress
ลิงค์ที่มา
การแสดงความคิดเห็น (0)