เมนู

พบช่องโหว่ใน WordPress Plugin ส่งผล
มากกว่า 2 ล้านเว็บไซต์เสี่ยงถูกโจมตี

พบช่องโหว่ใน WordPress Plugin ส่งผลมากกว่า 2 ล้านเว็บไซต์เสี่ยงถูกโจมตี

แนะผู้ใช้อัปเดตเวอร์ชั่น 6.1.6 Plugin Advanced Custom Fields โดยด่วน

6 พฤษภาคม 2566

พบช่องโหว่ใน WordPress สำหรับ Plugin Advanced Custom Fields และ Plugin Advanced Custom Fields Pro ซึ่งมีความเสี่ยงต่อการถูกโจมตีในรูปแบบ XSS (cross-site-scripting) โดยมีการติดตั้งใช้งานแล้วมากกว่า 2 ล้านเว็บไซต์ทั่วโลก โดยช่องโหว่ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2023-30777 ส่งผลให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้าถึงข้อมูลบนเบราว์เซอร์ได้ รวมถึงหลอกล่อให้ผู้ใช้งานเรียกใช้ URL ที่เป็นอันตราย

ลักษณะการโจมตีแบบ XSS สะท้อนกลับ (Reflected XSS) จะเกิดขึ้นเมื่อผู้ใช้งานคลิกลิงก์ปลอมที่ส่งมาทางอีเมล ทำให้รหัสที่เป็นอันตรายถูกส่งต่อไปยังเว็บไซต์ที่มีช่องโหว่ ซึ่งจะสะท้อนการโจมตีกลับไปยังเบราว์เซอร์ของผู้ใช้งาน ลักษณะดังกล่าวส่งผลให้ผู้โจมตีสามารถกระจายลิงก์ที่เป็นอันตรายไปยังเครื่องอื่นได้

นอกจากนี้ยังพบข้อบกพร่องใน XSS ในฟังก์ชัน cPanel ติดตามด้วยหมายเลข CVE-2023-29489 (CVSS:6.1) ส่งผลให้ผู้โจมตีเข้าถึงได้จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ รวมถึงเข้าถึงแอปพลิเคชันต่างๆ ที่ทำงานบนพอร์ต 80 และ443 ด้วย

ท้ายสุดแล้ว WordPress แนะนำหากมีการใช้งาน ‘Advanced Custom Fields’ and ‘Advanced Custom Fields Pro’ ให้ทำการอัพเกรดเป็นเวอร์ชัน 6.1.6 หรือที่ใหม่กว่าโดยทันที

อ้างอิง : bleepingcomputer.com, thehackernews.com