ปลั๊กอิน WordPress Jetpack ได้เผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญในวันนี้ ซึ่งแก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเข้าถึงแบบฟอร์มที่ส่งโดยผู้เข้าชมคนอื่นบนเว็บไซต์ได้
Jetpack เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมซึ่งพัฒนาโดย Automattic ซึ่งมีเครื่องมือที่ช่วยปรับปรุงฟังก์ชันการทำงาน, ความปลอดภัย และประสิทธิภาพของเว็บไซต์ ตามข้อมูลจาก vendor ปลั๊กอินนี้ถูกติดตั้งบนเว็บไซต์จำนวน 27 ล้านแห่ง
ปัญหาดังกล่าวถูกค้นพบระหว่างการตรวจสอบภายใน และมีผลกระทบต่อทุกเวอร์ชันของ Jetpack ตั้งแต่เวอร์ชัน 3.9.9 ที่เผยแพร่ในปี 2016 เป็นต้นมา
ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้งานที่เข้าสู่ระบบบนเว็บไซต์ เพื่ออ่านแบบฟอร์มที่ผู้เยี่ยมชมบนเว็บไซต์ส่งมา
Automattic ได้ออกการแก้ไขสำหรับ Jetpack เวอร์ชันที่ได้รับผลกระทบ 101 เวอร์ชัน ทั้งหมดแสดงอยู่ด้านล่าง
- 13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1
- 12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2
- 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2
- 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2
- 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5
- 8.9.4,8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3
- 7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5
- 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4
- 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3
- 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7
- 3.9.10
เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้ Jetpack ควรตรวจสอบว่าปลั๊กอินของตนได้รับการอัปเกรดอัตโนมัติไปยังหนึ่งในเวอร์ชันที่กล่าวถึงข้างต้นหรือไม่ และควรดำเนินการอัปเกรดแบบแมนนวลหากยังไม่ได้รับการอัปเกรด
Jetpack ระบุว่า ไม่มีหลักฐานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่ดังกล่าวในช่วงแปดปีที่ผ่านมา แต่แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่แก้ไขปัญหาโดยเร็วที่สุด
Jetpack เตือนว่า "ยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ปัจจุบันมีการเผยแพร่การอัปเดตแล้ว เป็นไปได้ว่าอาจมีบางคนพยายามใช้ประโยชน์จากช่องโหว่นี้"
ปัจจุบันยังไม่มีการลดผลกระทบ หรือวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ ดังนั้นการอัปเดตแพตซ์ที่มีอยู่จึงเป็นวิธีแก้ปัญหาที่แนะนำเพียงอย่างเดียว
รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ และวิธีการที่มันสามารถถูกนำมาใช้ในการโจมตี ยังไม่ถูกเปิดเผยในขณะนี้ เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งการอัปเดตด้านความปลอดภัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.