ในปัจจุบันได้มีหลายองค์กรมีการสร้าง Web site เป็นขององค์กร เพื่อนำเสนอข้อมูลต่าง ๆ ในองค์กรผ่านทางอินเตอร์เน็ตโดยในการพัฒนา Web site ขององค์กรนั้นเพื่อที่จะง่ายในการจัดการได้มีการใช้ WordPress เป็นเครื่องมือในการสร้าง Web site พร้อมกับ plugin ที่เพิ่มประสิทธิภาพการใช้งานของ WordPress เช่น Essential Addons for Elementor plugin โดยเป็น plugin ที่มีการใช้งานอย่างแพร่หลายซึ่งมีช่องโหว่ที่ส่งผลกระทบในระดับ critical และส่งผลกระทบต่อ version 5.0.4 รวมถึง version ก่อนหน้านี้ด้วย จากผลกระทบนี้จะทำให้ผู้ที่โจมตีสามารถเข้าถึง file ในเครื่อง โดยไม่คำนึงถึงระดับการตรวจสอบสิทธิ์หรือการอนุญาตในการใช้งาน การโจมตีดังกล่าวอาจนำไปสู่การเรียกใช้งานโค้ดจากระยะไกล
ช่องโหว่ดังกล่าวถูกค้นพบครั้งแรกโดย Wai Yan Myo Thet และผู้พัฒนา plugin ก็ได้ทำการพยายามแก้ไขใน version 5.0.3 กับ version 5.0.4 แต่ก็ยังไม่สามารถแก้ไขได้จนเมื่อสัปดาห์ที่ผ่านมาได้มีการออก patch version 5.0.5 ที่สามารถแก้ไขได้สำเร็จ
ข้อผิดพลาดนี้ในด้านความปลอดภัยเกิดขึ้นเนื่องจาก ข้อมูลอินพุตของผู้ใช้ถูกใช้ภายในฟังก์ชันรวมของ PHP ซึ่งเป็นส่วนหนึ่งของฟังก์ชัน ajax_load_more และ ajax_eael_product_gallery จากการตรวจสอบของบริษัทรักษาความปลอดภัย WordPress Patchstack
สามารถดูรายละเอียดได้ที่ URL: https://patchstack.com/articles/critical-vulnerability-fixed-in-essential-addons-for-elementor-plugin/ บริษัทรักษาความปลอดภัยยังตั้งข้อสังเกตว่าช่องโหว่นี้จะมีผลกระทบก็ต่อเมื่อมีการใช้งานวิดเจ็ต เช่น dynamic gallery or product gallery ดังนั้นองค์กรใดที่มีการใช้ Plugin ดังกล่าวต้องรีบดำเนินการอัปเดต patch เพื่อแก้ไขช่องโหว่ดังกล่าวอย่างเร่งด่วน
หากท่านสนใจและต้องการทราบข้อมูลบริการด้านการรักษาความปลอดภัยไซเบอร์เพิ่มเติมสามารถติดต่อได้ที่
Email: [email protected]
Tel: 094-480-4838
FB: https://www.facebook.com/cyberelite
Linkedin: https://www.linkedin.com/company/cyber-elite-thailand
ติดตามเนื้อหาดีๆแบบนี้ได้ที่
Facebook : https://www.facebook.com/innnews.co.th
Twitter : https://twitter.com/innnews
Youtube : https://www.youtube.com/c/INNNEWS_INN
TikTok : https://www.tiktok.com/@inn_news
LINE Official Account : @innnews
ขอขอบคุณข้อมูล
