WordPress 6.4.2 แก้ไขช่องโหว่ด้านความปลอดภัยที่ร้ายแรง

ตามรายงานของ The Hacker News WordPress ได้เปิดตัวเวอร์ชัน 6.4.2 ซึ่งได้แก้ไขช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งแฮกเกอร์อาจใช้ประโยชน์ร่วมกับจุดบกพร่องอื่นๆ เพื่อรันโค้ด PHP แบบสุ่มบนเว็บไซต์ที่ยังมีช่องโหว่ดังกล่าวอยู่

บริษัทระบุว่าช่องโหว่การเรียกใช้โค้ดจากระยะไกลนั้นไม่สามารถใช้ประโยชน์ได้โดยตรงในแกนหลัก แต่ทีมงานด้านความปลอดภัยรู้สึกว่าช่องโหว่ดังกล่าวมีแนวโน้มที่จะทำให้เกิดช่องโหว่ที่มีความร้ายแรงสูงเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะอย่างยิ่งในระบบการติดตั้งหลายไซต์

บริษัทรักษาความปลอดภัย Wordfence ระบุว่า ปัญหานี้เกิดจากคลาสที่เปิดตัวในเวอร์ชัน 6.4 เพื่อปรับปรุงการแยกวิเคราะห์ HTML ในโปรแกรมแก้ไขบล็อก วิธีนี้ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อแทรกวัตถุ PHP ที่มีอยู่ในปลั๊กอินหรือธีม ซึ่งสามารถรวมเข้าด้วยกันเพื่อรันโค้ดตามอำเภอใจและควบคุมเว็บไซต์เป้าหมายได้ ส่งผลให้ผู้โจมตีสามารถลบไฟล์ตามอำเภอใจ ดึงข้อมูลสำคัญ หรือรันโค้ดได้

ในคำแนะนำที่คล้ายกัน Patchstack ระบุว่าพบห่วงโซ่ช่องโหว่บน GitHub ตั้งแต่วันที่ 17 พฤศจิกายน และถูกเพิ่มเข้าไปในโครงการ PHP Common Utility Chains (PHPGGC) ผู้ใช้ควรตรวจสอบเว็บไซต์ของตนเองด้วยตนเองเพื่อให้แน่ใจว่าได้อัปเดตเป็นเวอร์ชันล่าสุดแล้ว

WordPress เป็นระบบจัดการเนื้อหาที่ใช้งานง่าย ใช้งานได้ฟรี และได้รับความนิยมทั่วโลก ด้วยการติดตั้งที่ง่ายดายและการสนับสนุนที่ครอบคลุม ผู้ใช้จึงสามารถสร้างเว็บไซต์ทุกประเภทได้อย่างรวดเร็ว ไม่ว่าจะเป็นร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา...

จากข้อมูลของ W3Techs พบว่า WordPress จะขับเคลื่อนเว็บไซต์บนอินเทอร์เน็ตถึง 45.8% ในปี 2023 เพิ่มขึ้นจาก 43.2% ในปี 2022 นั่นหมายความว่าเว็บไซต์มากกว่า 2 ใน 5 จะใช้ WordPress