ปลั๊กอิน WordPress Jetpack ได้เผยแพร่การอัปเดตด้านความปลอดภัยที่สำคัญในวันนี้ ซึ่งแก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่เข้าสู่ระบบสามารถเข้าถึงแบบฟอร์มที่ส่งโดยผู้เข้าชมคนอื่นบนเว็บไซต์ได้

Jetpack เป็นปลั๊กอิน WordPress ที่ได้รับความนิยมซึ่งพัฒนาโดย Automattic ซึ่งมีเครื่องมือที่ช่วยปรับปรุงฟังก์ชันการทำงาน, ความปลอดภัย และประสิทธิภาพของเว็บไซต์ ตามข้อมูลจาก vendor ปลั๊กอินนี้ถูกติดตั้งบนเว็บไซต์จำนวน 27 ล้านแห่ง

ปัญหาดังกล่าวถูกค้นพบระหว่างการตรวจสอบภายใน และมีผลกระทบต่อทุกเวอร์ชันของ Jetpack ตั้งแต่เวอร์ชัน 3.9.9 ที่เผยแพร่ในปี 2016 เป็นต้นมา

ช่องโหว่นี้สามารถถูกใช้โดยผู้ใช้งานที่เข้าสู่ระบบบนเว็บไซต์ เพื่ออ่านแบบฟอร์มที่ผู้เยี่ยมชมบนเว็บไซต์ส่งมา

Automattic ได้ออกการแก้ไขสำหรับ Jetpack เวอร์ชันที่ได้รับผลกระทบ 101 เวอร์ชัน ทั้งหมดแสดงอยู่ด้านล่าง

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1
12.9.4, 12.8.2, 12.7.2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2
11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2
10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2.3, 10.1.2, 10.0.2
9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5
8.9.4,8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3
7.9.4, 7.8.4, 7.7.6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5
6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4
5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2.5, 5.1.4, 5.0.3
4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7
3.9.10

เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้ Jetpack ควรตรวจสอบว่าปลั๊กอินของตนได้รับการอัปเกรดอัตโนมัติไปยังหนึ่งในเวอร์ชันที่กล่าวถึงข้างต้นหรือไม่ และควรดำเนินการอัปเกรดแบบแมนนวลหากยังไม่ได้รับการอัปเกรด

Jetpack ระบุว่า ไม่มีหลักฐานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่ดังกล่าวในช่วงแปดปีที่ผ่านมา แต่แนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่แก้ไขปัญหาโดยเร็วที่สุด

Jetpack เตือนว่า "ยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้ประโยชน์ในการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ปัจจุบันมีการเผยแพร่การอัปเดตแล้ว เป็นไปได้ว่าอาจมีบางคนพยายามใช้ประโยชน์จากช่องโหว่นี้"

ปัจจุบันยังไม่มีการลดผลกระทบ หรือวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ ดังนั้นการอัปเดตแพตซ์ที่มีอยู่จึงเป็นวิธีแก้ปัญหาที่แนะนำเพียงอย่างเดียว

รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ และวิธีการที่มันสามารถถูกนำมาใช้ในการโจมตี ยังไม่ถูกเปิดเผยในขณะนี้ เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งการอัปเดตด้านความปลอดภัย

ที่มา : bleepingcomputer

Automat บริษัทที่อยู่เบื้องหลังระบบการจัดการเนื้อหาของ WordPress เริ่มบังคับการติดตั้งแพตช์อัปเดตด้านความปลอดภัยในเว็บไซต์หลายล้านเว็บไซต์ในวันนี้ เพื่อแก้ไขช่องโหว่ที่สำคัญในปลั๊กอิน Jetpack

Jetpack เป็นปลั๊กอินที่ได้รับความนิยมอย่างมาก ซึ่งให้บริการด้านความปลอดภัย ประสิทธิภาพ และการจัดการเว็บไซต์ฟรี รวมถึงการสำรองข้อมูลเว็บไซต์ การป้องกันการโจมตีแบบ brute-force การล็อกอินที่ปลอดภัย การสแกนมัลแวร์ และอื่น ๆ

จากข้อมูลอย่างเป็นทางการของ WordPress ปลั๊กอินนี้ได้รับการดูแลโดย Automattic และตอนนี้มีการติดตั้งที่ใช้งานอยู่มากกว่า 5 ล้านครั้ง โดยระหว่างการตรวจสอบความปลอดภัยภายใน บริษัทพบช่องโหว่ของ API ที่มีอยู่ใน Jetpack ตั้งแต่เวอร์ชัน 2.0 ซึ่งเปิดตัวในปี 2012

โดย Jetpack เวอร์ชัน 12.1.1 เป็นแพตช์อัปเดตด้านความปลอดภัยที่จะถูกติดตั้งกับเว็บไซต์ WordPress ทั้งหมดโดยอัตโนมัติ เริ่มตั้งแต่วันนี้เป็นต้นไป (30 พฤษภาคม 2023) และได้รับการติดตั้งบนเว็บไซต์ไปแล้วมากกว่า 4,130,000 เว็บไซต์ที่ใช้ Jetpack ทุกเวอร์ชั่นตั้งแต่ 2.0

เว็บไซต์ที่มีช่องโหว่ส่วนใหญ่ได้รับการอัปเดตเป็นเวอร์ชันล่าสุดที่ปลอดภัยโดยอัตโนมัติแล้ว และส่วนที่เหลือก็จะได้รับการอัปเดตแพตช์ในเร็ว ๆ นี้เช่นกัน

Herve แจ้งเตือนผู้ดูแลเว็บไซต์ แม้ว่าจะไม่มีสัญญาณว่าช่องโหว่ดังกล่าวถูกนำมาใช้ในการโจมตี แต่ควรตรวจสอบให้แน่ใจว่าเว็บไซต์ปลอดภัย เนื่องจากผู้โจมตีมักจะรวบรวมข้อมูลของช่องโหว่จากแพตซ์อัปเดตที่เกิดขึ้น และสร้างเครื่องมือที่ใช้โจมตีไปยังเว็บไซต์ WordPress ที่ยังไม่ได้รับการอัปเดตแพตช์

ไม่ใช่ครั้งแรกที่ WordPress ใช้วิธีการอัปเดตแพตซ์ความปลอดภัยโดยอัตโนมัติเพื่อแก้ไขช่องโหว่ที่สำคัญในปลั๊กอิน ตัวอย่างเช่น Samuel Wood ผู้พัฒนา WordPress ระบุในเดือนตุลาคม 2020 ว่า WordPress ใช้วิธีการนี้เพื่ออัปเดตแพตซ์ด้านความปลอดภัยสำหรับปลั๊กอินหลายครั้งตั้งแต่ WordPress 3.7 เปิดตัว

คำแนะนำ

อัปเดตเวอร์ชันของ Jetpack โดยเร็วที่สุด
เวอร์ชันแพตช์ของ Jetpack ทุกเวอร์ชันตั้งแต่ 2.0 ส่วนใหญ่จะได้รับการอัปเดตเป็นเวอร์ชันที่ปลอดภัยโดยอัตโนมัติเร็ว ๆ นี้

ที่มา : bleepingcomputer