พบช่องโหว่ Zero day ของ WordPress Plugin

พบช่องโหว่ Zero day ของ WordPress Plugin

ผู้ไม่ประสงค์ดีได้ทำการแสกนหาเว็บไซต์ที่มีการใช้งาน Plugin Fancy Product Designer ซึ่งเป็น Plugin ที่ใช้ในการปรับแต่งผลิตภัณฑ์สินค้าบน WordPress, Woo Commerce และ Shopify จากข้อมูลสถิติการขายปลั๊กอิน Fancy Product Designer พบว่ามีการจำหน่ายและติดตั้งใช้งาน Plugin นี้บนเว็บไซต์แล้วมากกว่า 17,000 แห่ง (more…)

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection ซึ่งทำให้ผู้โจมตีสามารถโจมตีผ่านช่องโหว่โดยไม่ต้องมีการยืนยันตัวตนได้ ช่องโหว่ที่ถูกโจมตีสามารถใช้เพื่อดึงข้อมูล Sensitive information จากเว็ปไซต์ที่ถูกพัฒนาด้วย WordPress และมีช่องโหว่จาก plugin ดังกล่าว โดยช่องโหว่ที่พบได้ระดับความรุนแรงจาก CVSS ถึง 7.5 (ความรุนแรงสูง) และมีผลกับปลั๊กอินเวอร์ชันก่อนหน้า 13.0.8 ซึ่งปัจจุบันมีการถูก Download ไปใช้งานแล้วมากกว่า 600,000 ครั้ง

การเข้าถึง เมนู “Page” บน WP Statistics ข้อมูล Statistics ซึ่งโดยปกติแล้วควรจะเข้าถึงได้เฉพาะผู้ดูแลระบบ ที่ใช้ในการเข้าชมสถิติของเว็บไซต์ของตนเอง แต่นักวิจัยค้นพบว่าหากมีการใข้คำสั่ง SQL ที่ถูกสร้างขึ้น ก็ทำให้ไม่จำเป็นต้องมีสิทธิ์แอดมินก็สามารถเข้าถึงเมนูดังกล่าวได้

นักวิเคราะห์จาก Wordfence ระบุว่าแม้เมนู Page จะไม่แสดงข้อมูลแก่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ แต่สามารถเรียกใช้งานหน้านี้ได้โดยส่งคำขอไปยัง wp-admin/admin.

พบช่องโหว่ใน Facebook for WordPress Plugin มีการติดตั้งใช้งานไปแล้วมากกว่า 500,000 ครั้ง

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

Critical WordPress plugin bug affects hundreds of thousands of sites

บริษัทความปลอดภัย Sucuri รายงานว่าพบช่องโหว่ร้ายแรงระดับ critical ในปลั๊กอิน Custom Contact Forms ซึ่งเป็นปลั๊กอินยอดนิยมอีกตัวหนึ่งของ WordPress ซึ่งช่องโหว่ที่พบจะใช้สิทธิแอดมินของ WordPress สั่งดึงข้อมูลทั้งหมดจากฐานข้อมูล (SQL dump) และอิมพอร์ตข้อมูลกลับเข้าไปใหม่ ผู้ประสงค์ร้ายอาจใช้จังหวะนี้แปลงข้อมูลใน SQL dump (เช่น เพิ่มผู้ใช้บัญชีใหม่) แล้วรอให้ปลั๊กอินดึงกลับเข้าไปในฐานข้อมูล เพื่อใช้ควบคุมเว็บไซต์หลังจากนั้น