Tech News & Advice

เว็บไซต์ WordPress กว่า 1 ล้านแห่งเสี่ยงต่อการถูกโจมตี XXS เนื่องจากปลั๊กอิน Buggy

ผู้เชี่ยวชาญด้านความปลอดภัยได้ออกคำเตือนเกี่ยวกับ 'Advanced Custom Fields' และ 'Advanced Custom Fields Pro' ปลั๊กอินสำหรับ WordPress ซึ่งมีการติดตั้งหลายล้านครั้งและไวต่อการเขียนสคริปต์ข้ามไซต์ (XSS) การโจมตี

ปลั๊กอินเหล่านี้เป็นตัวสร้างฟิลด์แบบกำหนดเองที่ได้รับความนิยมอย่างสูงบน WordPress และใช้งานโดยเว็บไซต์ที่ใช้งานอยู่ประมาณ 2,000,000 เว็บไซต์ทั่วโลก

ช่องโหว่ที่ระบุเป็น CVE-2023-30777 เกี่ยวข้องกับสถานการณ์จำลองของ cross-site scripting (XSS) ซึ่งสามารถ อาจถูกโจมตีเพื่อใส่สคริปต์ปฏิบัติการที่เป็นอันตรายลงในเว็บไซต์ที่ถือว่าปลอดภัยและ ไม่เป็นอันตราย

หลับคอมพิวเตอร์ รายงานว่าเมื่อวันที่ 2 พฤษภาคม 2023 Rafie Muhammad นักวิจัยจาก Patchstack ได้ระบุช่องโหว่ XSS ที่มีความรุนแรงสูงที่สะท้อนให้เห็นซึ่งถูกกำหนดให้เป็น CVE-2023-30777

โดยทั่วไปแล้วช่องโหว่ Cross-site Scripting (XSS) ช่วยให้ผู้โจมตีสามารถแนะนำสคริปต์ที่เป็นอันตรายไปยังเว็บไซต์ที่ผู้อื่นเข้าถึงได้ ซึ่งนำไปสู่การเรียกใช้โค้ดบนเว็บเบราว์เซอร์ของผู้เข้าชม

“ช่องโหว่นี้ทำให้ผู้ใช้ที่ไม่ผ่านการรับรองความถูกต้องสามารถขโมยข้อมูลที่ละเอียดอ่อนได้ กรณี, การเพิ่มสิทธิ์ในไซต์ WordPress โดยหลอกให้ผู้ใช้ที่มีสิทธิ์เข้าชม URL ที่สร้างขึ้น เส้นทาง"

ตาม Patchstackช่องโหว่ XSS มีศักยภาพในการเปิดใช้ผู้โจมตีที่ไม่ได้รับอนุญาตเพื่อขโมยข้อมูลที่ละเอียดอ่อนและเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่ถูกบุกรุก

การโจมตี XSS แบบสะท้อนมักเกิดขึ้นเมื่อเหยื่อถูกหลอกให้คลิกลิงก์ปลอม ซึ่ง ส่งรหัสที่เป็นอันตรายไปยังเว็บไซต์ที่อ่อนแอ จากนั้นสะท้อนการโจมตีกลับไปยังผู้ใช้ เว็บเบราว์เซอร์.

การมีอยู่ของวิศวกรรมสังคมเป็นปัจจัยสำคัญในการสะท้อนการโจมตี XSS ซึ่งจะจำกัดขอบเขตและขอบเขตเมื่อเทียบกับการโจมตี XSS ที่เก็บไว้

ข้อจำกัดนี้ทำให้ผู้ประสงค์ร้ายเผยแพร่ลิงก์ที่เป็นอันตรายไปยังเหยื่อให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อพยายามเพิ่มผลกระทบจากการโจมตีให้ได้มากที่สุด

เมื่อ Patchstack แจ้งเตือนผู้พัฒนาปลั๊กอินถึงช่องโหว่ การอัปเดตความปลอดภัยจะเผยแพร่โดยทันทีในวันที่ 4 พฤษภาคม 2023 เป็นเวอร์ชัน 6.1.6

ที่เกี่ยวข้อง

ติดตามเทรนด์เทคโนโลยีล่าสุด - ส่งตรงถึงกล่องจดหมายของคุณ ฟรี!

Husain ใช้งานอินเทอร์เน็ตมาตั้งแต่สมัย Dial-up และชอบเขียนเกี่ยวกับทุกสิ่งในแวดวงเทคโนโลยี เขาชอบตรวจสอบเทคโนโลยี เขียนเกี่ยวกับ VPN และรายงานข่าวความปลอดภัยทางไซเบอร์

PlayStation VR2 สามารถทำงานบนพีซีได้...ด้วยข้อดีมากมาย

ความจริงเสมือนนั้นค่อนข้างเท่ อะไรก็ตามที่กอร์ดอนพูดแต่อาจมีราคาแพงมากในการเข้าไป ใช้ส่วนเสริม VR...

อ่านเพิ่มเติม

การแจ้งเตือนการรีเซ็ต LastPass 2FA กำลังล็อคผู้ใช้ออกจากบัญชี

การแจ้งเตือนการรีเซ็ต LastPass 2FA กำลังล็อคผู้ใช้ออกจากบัญชี

ความพยายามของ LastPass ในการล้างข้อมูลหลังจากการละเมิดความปลอดภัยนั้นไปได้ไม่ดีนัก อย่างน้อยก็ไม่...

อ่านเพิ่มเติม

Google ฆ่าคู่แข่งของ Apple Vision Pro

สงสารกูเกิลผู้น่าสงสาร บริษัทดังกล่าวทำงานเกี่ยวกับเทคโนโลยี VR มานานกว่าทศวรรษแล้ว และดูเหมือนว่...

อ่านเพิ่มเติม