ปลั๊กอิน WordPress Jetpack ได้เผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญในวันนี้ ซึ่งแก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเข้าถึงแบบฟอร์มที่ส่งโดยผู้เข้าชมคนอื่นบนเว็บไซต์ได้
Jetpack เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมซึ่งพัฒนาโดย Automattic ซึ่งมีเครื่องมือที่ช่วยปรับปรุงฟังก์ชันการทำงาน, ความปลอดภัย และประสิทธิภาพของเว็บไซต์ ตามข้อมูลจาก vendor ปลั๊กอินนี้ถูกติดตั้งบนเว็บไซต์จำนวน 27 ล้านแห่ง
ปัญหาดังกล่าวถูกค้นพบระหว่างการตรวจสอบภายใน และมีผลกระทบต่อทุกเวอร์ชันของ Jetpack ตั้งแต่เวอร์ชัน 3.9.9 ที่เผยแพร่ในปี 2016 เป็นต้นมา
ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้งานที่เข้าสู่ระบบบนเว็บไซต์ เพื่ออ่านแบบฟอร์มที่ผู้เยี่ยมชมบนเว็บไซต์ส่งมา
Automattic ได้ออกการแก้ไขสำหรับ Jetpack เวอร์ชันที่ได้รับผลกระทบ 101 เวอร์ชัน ทั้งหมดแสดงอยู่ด้านล่าง
13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1
12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2
11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2
10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2
9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5
8.9.4,8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3
7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5
6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4
5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3
4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7
3.9.10
เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้ Jetpack ควรตรวจสอบว่าปลั๊กอินของตนได้รับการอัปเกรดอัตโนมัติไปยังหนึ่งในเวอร์ชันที่กล่าวถึงข้างต้นหรือไม่ และควรดำเนินการอัปเกรดแบบแมนนวลหากยังไม่ได้รับการอัปเกรด
Jetpack ระบุว่า ไม่มีหลักฐานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่ดังกล่าวในช่วงแปดปีที่ผ่านมา แต่แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่แก้ไขปัญหาโดยเร็วที่สุด
Jetpack เตือนว่า "ยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ปัจจุบันมีการเผยแพร่การอัปเดตแล้ว เป็นไปได้ว่าอาจมีบางคนพยายามใช้ประโยชน์จากช่องโหว่นี้"
ปัจจุบันยังไม่มีการลดผลกระทบ หรือวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ ดังนั้นการอัปเดตแพตซ์ที่มีอยู่จึงเป็นวิธีแก้ปัญหาที่แนะนำเพียงอย่างเดียว
รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ และวิธีการที่มันสามารถถูกนำมาใช้ในการโจมตี ยังไม่ถูกเปิดเผยในขณะนี้ เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งการอัปเดตด้านความปลอดภัย
ที่มา : bleepingcomputer