6 พฤษภาคม 2566
พบช่องโหว่ใน WordPress สำหรับ Plugin Advanced Custom Fields และ Plugin Advanced Custom Fields Pro ซึ่งมีความเสี่ยงต่อการถูกโจมตีในรูปแบบ XSS (cross-site-scripting) โดยมีการติดตั้งใช้งานแล้วมากกว่า 2 ล้านเว็บไซต์ทั่วโลก โดยช่องโหว่ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2023-30777 ส่งผลให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้าถึงข้อมูลบนเบราว์เซอร์ได้ รวมถึงหลอกล่อให้ผู้ใช้งานเรียกใช้ URL ที่เป็นอันตราย
ลักษณะการโจมตีแบบ XSS สะท้อนกลับ (Reflected XSS) จะเกิดขึ้นเมื่อผู้ใช้งานคลิกลิงก์ปลอมที่ส่งมาทางอีเมล ทำให้รหัสที่เป็นอันตรายถูกส่งต่อไปยังเว็บไซต์ที่มีช่องโหว่ ซึ่งจะสะท้อนการโจมตีกลับไปยังเบราว์เซอร์ของผู้ใช้งาน ลักษณะดังกล่าวส่งผลให้ผู้โจมตีสามารถกระจายลิงก์ที่เป็นอันตรายไปยังเครื่องอื่นได้
นอกจากนี้ยังพบข้อบกพร่องใน XSS ในฟังก์ชัน cPanel ติดตามด้วยหมายเลข CVE-2023-29489 (CVSS:6.1) ส่งผลให้ผู้โจมตีเข้าถึงได้จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ รวมถึงเข้าถึงแอปพลิเคชันต่างๆ ที่ทำงานบนพอร์ต 80 และ443 ด้วย
ท้ายสุดแล้ว WordPress แนะนำหากมีการใช้งาน ‘Advanced Custom Fields’ and ‘Advanced Custom Fields Pro’ ให้ทำการอัพเกรดเป็นเวอร์ชัน 6.1.6 หรือที่ใหม่กว่าโดยทันที
อ้างอิง : bleepingcomputer.com, thehackernews.com
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา