WordPress
พบช่องโหว่ของการฉีดคำสั่งในบล็อกส่วนตัวที่มีชื่อเสียงและแพลตฟอร์มการจัดการการสร้างเว็บไซต์: WordPress พบช่องโหว่ในคอมโพเนนต์ปลั๊กอิน WordPress ของ Plainview Activity Monitor และได้รับการกำหนดรหัส CVE ของ CVE-2018-15877
ช่องโหว่การแทรกคำสั่งที่พบในปลั๊กอิน Plainview Activity Monitor สำหรับ WordPress ทำให้มีความเสี่ยงอย่างมากที่จะตอบสนองผู้โจมตีระยะไกลที่ดำเนินการคำสั่งในระบบที่ถูกแฮ็กจากระยะไกล คำสั่งที่เป็นอันตรายที่แทรกเข้าไปจะโยนข้อมูลที่ไม่เหมาะสมไปยังสตรีมของบริการโดยเฉพาะผ่านพารามิเตอร์ IP และไปยัง activities_overview.php
ช่องโหว่การแทรกคำสั่งนี้ในส่วนประกอบดังกล่าวไม่สามารถใช้ประโยชน์จากระยะไกลได้ด้วยตัวมันเอง น่าเสียดายที่ปลั๊กอินคอมโพเนนต์เดียวกันบน WordPress มีช่องโหว่อีกสองช่อง ได้แก่ ช่องโหว่การโจมตี CSRF และช่องโหว่การเขียนสคริปต์ข้ามไซต์ เมื่อช่องโหว่ทั้งสามทำงานร่วมกันเพื่อใช้ประโยชน์ร่วมกันผู้โจมตีจะสามารถดำเนินการคำสั่งจากระยะไกลในระบบของผู้ใช้รายอื่นโดยให้สิทธิ์การเข้าถึงข้อมูลส่วนตัวของผู้ใช้ที่ไม่เหมาะสมและไม่ได้รับอนุญาต
ตามรายละเอียดการวิจัยที่เผยแพร่โดย WordPress ช่องโหว่ดังกล่าวถูกค้นพบครั้งแรกในวันที่ 25ธของเดือนสิงหาคมปีนี้ มีการขอป้ายระบุ CVE ในวันเดียวกันจากนั้นจึงรายงานช่องโหว่ดังกล่าวไปยัง WordPress ในวันรุ่งขึ้นโดยเป็นส่วนหนึ่งของประกาศบังคับของผู้จำหน่าย WordPress มีความพร้อมอย่างรวดเร็วในการเปิดตัวเวอร์ชันใหม่สำหรับปลั๊กอินคอมโพเนนต์เวอร์ชัน 20180826 เวอร์ชันใหม่นี้คาดว่าจะแก้ไขช่องโหว่ที่พบในเวอร์ชัน 20161228 และเวอร์ชันเก่าของปลั๊กอิน Plainview Activity Monitor
ช่องโหว่นี้ได้รับการกล่าวถึงอย่างละเอียดและอธิบายไว้ในโพสต์บน GitHub ซึ่งจะมีการพิสูจน์แนวคิดสำหรับการหาประโยชน์เชิงสัมพันธ์ที่อาจเกิดขึ้น เพื่อลดความเสี่ยงที่เกิดขึ้นผู้ใช้ WordPress ควรอัปเดตระบบเป็นเวอร์ชันล่าสุดของปลั๊กอิน Plainview Activity Monitor ที่ใช้งานอยู่ในระบบของตน
แท็ก WordPress
