REFLECTED XSS BUG PATCHED IN POPULAR WOOCOMMERCE WORDPRESS PLUGIN

นักวิจัยด้านความปลอดภัย Logan Kipp จาก SIteLock ได้มีการรายงานการค้นพบช่องโหว่ XSS บนส่วนเสริม Product Vendors เวอร์ชัน 2.0.35 และก่อนหน้าของปลั๊กอิน WooCommerce ซึ่งถูกใช้งานในเว็บไซต์ขายของออนไลน์กว่า 28% ซึ่งส่งผลให้ผู้โจมตีอาจสามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลที่เป็นความลับของระบบได้

Logan Kipp กล่าวว่าช่องโหว่ในลักษณะ reflected XSS นี้อาจนำไปสู่การบังคับรันสคริปต์ที่เป็นอันตรายโดยที่ผู้ใช้งานไม่รู้ตัวได้ อีกทั้งอาจทำให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลเว็บไซต์ที่สามารถจัดการการตั้งค่าต่างๆ ของเว็บไซต์ได้

ผู้พัฒนาเว็บไซต์สามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการเปิดใช้งานฟีเจอร์ Automatic Updates ซึ่งจะช่วยในการอัพเดตปลั๊กอินต่างๆ ให้เป็นเวอร์ชันล่าสุดโดยอัตโนมัติ

ที่มา : threatpost

Read more