ช่องโหว่ของปลั๊กอิน WordPress LiteSpeed Cache ทำให้เว็บไซต์ต่าง ๆ เสี่ยงต่อการถูกโจมตีแบบ XSS

พบช่องโหว่ใหม่ที่ถูกเปิดเผยในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ด JavaScript ตามที่ต้องการได้ภายใต้เงื่อนไขบางประการ (more…)

ผู้ให้บริการ Facial DNA ทำข้อมูลไบโอเมตริกส์รั่วไหลผ่านโฟลเดอร์บน WordPress

ผู้ให้บริการตรวจสอบพันธุกรรม DNA และการจับคู่ใบหน้าจากรัฐอินเดียนาทำข้อมูลส่วนบุคคล, ข้อมูลไบโอเมตริกส์ และข้อมูลที่สามารถระบุตัวบุคคล (PII) ของลูกค้านับพันรายรั่วไหล เหตุการณ์นี้ถูกรายงานโดย Jeremiah Fowler นักวิจัยด้านความปลอดภัยไซเบอร์ ซึ่งเป็นที่รู้จักในการค้นหา และรายงานฐานข้อมูลที่มีการกำหนดค่าผิดพลาดให้กับบริษัทต่าง ๆ ก่อนที่ผู้ไม่หวังดีจะนำไปใช้ประโยชน์ โดยมีการแจ้งรายละเอียดกับ Hackread.

WordPress.org จะกำหนดให้ใช้ 2FA สำหรับนักพัฒนาปลั๊กอินภายในเดือนตุลาคม

เริ่มตั้งแต่วันที่ 1 ตุลาคมนี้เป็นต้นไป บัญชีของ WordPress.org ที่สามารถส่งอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมได้ จะต้องเปิดใช้ระบบการยืนยันตัวตนแบบสองขั้นตอน (2FA) บนบัญชี (more…)

ช่องโหว่ WPML Plugin ระดับ Critical ใน WordPress เสี่ยงต่อการถูกโจมตีแบบ Remote Code Execution

มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลภายใต้เงื่อนไขบางประการได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 4.6.13 ซึ่งเปิดเผยเมื่อวันที่ 20 สิงหาคม 2024 ที่ผ่านมา

ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้

(more…)

พบการโจมตีผ่านช่องโหว่ SQL Injection บน Plugin WP Automatic ของ WordPress นับล้านครั้ง

กลุ่ม Hackers ทำการโจมตีเป้าหมายโดยการมุ่งเป้าไปที่ช่องโหว่ปลั๊กอิน WP Automatic ซึ่งเป็นช่องโหว่ที่มีความรุนแรงในระดับ Critical โดยทำการสร้างบัญชีผู้ใช้ที่มีสิทธิ์สูง และวาง backdoors ไว้เพื่อการเข้าถึงในระยะยาว (more…)

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ

(more…)

Kinsta บริการ WordPress hosting ถูกฟิชชิ่งผ่าน Google Ads

Kinsta ผู้ให้บริการ WordPress hosting แจ้งเตือนลูกค้าว่ามีผู้พบเห็นโฆษณาบน Google ในการโปรโมตเว็บไซต์ฟิชชิ่ง เพื่อขโมย hosting credentials

Kinsta ระบุว่า การโจมตีแบบฟิชชิ่งมีจุดมุ่งหมายเพื่อขโมยข้อมูล credentials การเข้าสู่ระบบของ MyKinsta ซึ่งเป็นบริการที่สำคัญของบริษัทในการจัดการ WordPress และแอปพลิเคชันบนคลาวด์อื่น ๆ (more…)

WordPress แก้ไขช่องโหว่ใน POP chain ที่ทำให้เว็บไซต์ถูกโจมตี

WordPress ออกแพตซ์อัปเดตเวอร์ชัน 6.4.2 ที่ระบุถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งอาจใช้ร่วมกับช่องโหว่อื่นที่ทำให้ผู้โจมตีสามารถเรียกใช้ PHP code ที่เป็นอันตรายบนเว็บไซต์ได้

WordPress เป็นระบบการจัดการเนื้อหา Content Management System (CMS) ซึ่งเป็นซอฟต์แวร์แบบโอเพนซอร์สที่ได้รับความนิยมอย่างมากในการสร้าง และจัดการเว็บไซต์ ซึ่งปัจจุบันมีการใช้งานมากกว่า 800 ล้านเว็บไซต์ หรือประมาณ 45% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

โดยทีมรักษาความปลอดภัยพบช่องโหว่ของ Property Oriented Programming (POP) ที่ถูกนำมาใช้ใน WordPress 6.4 ซึ่งอาจทำให้มีการเรียกใช้ PHP code ที่เป็นอันตรายได้

การโจมตีช่องโหว่ POP ผู้โจมตีต้องควบคุมคุณสมบัติทั้งหมดของ deserialize object ซึ่งสามารถทำได้ผ่านฟังก์ชัน unserialize () ของ PHP โดยการควบคุมค่าที่ส่งไปยัง magic method เช่น '_wakeup()'

โดยเว็บไซต์เป้าหมายต้องมีช่องโหว่ PHP object injection ซึ่งอาจอยู่บนปลั๊กอิน หรือส่วนต่าง ๆ ของธีม จึงจะส่งผลกระทบทำให้ช่องโหว่มีระดับความรุนแรงสูงขึ้นเป็นระดับ Critical

WordPress ระบุว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลไม่สามารถโจมตีได้โดยตรง แต่ทีมรักษาความปลอดภัยเชื่อว่าเมื่อใช้ร่วมกับปลั๊กอินบางตัว โดยเฉพาะที่มีการติดตั้งในหลายเว็บไซต์ยิ่งอาจทำให้มีระดับความรุนแรงสูงขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัยของ Wordfence ให้รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้โดยอธิบายว่า ช่องโหว่อยู่ในประเภท 'WP_HTML_Token' ซึ่งอยู่ใน WordPress 6.4 เพื่อปรับปรุงการการวิเคราะห์แบบ HTML ใน block editor โดยประกอบด้วย magic method '__destruct' ซึ่งใช้ 'call_user_func' เพื่อดำเนินการฟังก์ชันที่กำหนดไว้ในคุณสมบัติ 'on_destroy' และ 'bookmark_name'

นักวิจัยระบุว่าผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ object injection สามารถควบคุมคุณสมบัติเหล่านี้เพื่อสั่งรันโค้ดได้ตามที่ต้องการ

แม้ว่าช่องโหว่นี้จะไม่รุนแรงด้วยตัวมันเอง เนื่องจากความจำเป็นในการใช้ประโยชน์จาก object injection ในปลั๊กอิน หรือธีมที่ติดตั้ง และใช้งานอยู่ แต่การมี POP ที่สามารถใช้ประโยชน์ได้ใน WordPress สามารถเพิ่มความเสี่ยงของเว็บไซต์ WordPress ขึ้นได้

การแจ้งเตือนอื่นจากแพลตฟอร์มความปลอดภัย Patchstack สำหรับ WordPress และปลั๊กอินระบุว่า ช่องโหว่นี้ถูกอัปโหลดเมื่อหลายสัปดาห์ก่อนบน GitHub และต่อมาได้เพิ่มลงในไลบรารี PHPGGC ซึ่งใช้ในการทดสอบความปลอดภัยของแอปพลิเคชัน PHP

ถึงแม้ช่องโหว่อาจมีความรุนแรง และสามารถโจมตีได้แค่ในบางกรณี อย่างไรก็ตามนักวิจัยแนะนำให้ผู้ดูแลระบบอัปเดต WordPress ให้เป็นเวอร์ชันล่าสุด และแม้ว่าการอัปเดตส่วนใหญ่จะติดตั้งเวอร์ชันใหม่ให้โดยอัตโนมัติ แต่ยังคงแนะนำให้ตรวจสอบด้วยตนเองว่าการอัปเดตเสร็จสมบูรณ์หรือไม่

ที่มา: bleepingcomputer

เว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ถูกแฮ็กจากการโจมตีของ Balada Injector เมื่อเดือนที่แล้ว

แคมเปญ Balada Injector หลายแคมเปญได้โจมตีเว็บไซต์ WordPress กว่า 17,000 เว็บไซต์ โดยใช้ช่องโหว่ในปลั๊กอิน premium theme

Balada Injector เป็นปฏิบัติการขนาดใหญ่ที่ถูกพบในเดือนธันวาคม 2022 โดย Dr. Web ซึ่งพบการใช้ประโยชน์จากช่องโหว่ต่าง ๆ ของปลั๊กอินใน WordPress ที่เป็นที่รู้จัก และช่องโหว่ของ theme เพื่อติดตั้ง Linux backdoor

โดย Backdoor จะทำการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ถูกโจมตีไปยังหน้า tech support ปลอม, หลอกว่าได้รับรางวัล และการหลอกลวงการแจ้งเตือนลักษณะต่าง ๆ ดังนั้นจึงคาดว่าการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญการหลอกลวง หรือบริการที่ขายให้กับผู้โจมตี

ในเดือนเมษายนปี 2023 Sucuri รายงานว่า Balada Injector ถูกพบมาตั้งแต่ปี 2017 และประเมินว่าได้ทำการโจมตีเว็บไซต์ WordPress ไปแล้วเกือบหนึ่งล้านเว็บไซต์

แคมเปญในปัจจุบัน

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Cross-site scripting (XSS) ที่มีหมายเลข CVE-2023-3169 ใน tagDiv Composer ซึ่งเป็นเครื่องมือสำหรับ tagDiv Newspaper และ Newsmag themes สำหรับเว็บไซต์ WordPress

(more…)

แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ critical ของ WordPress WooCommerce Payments

แฮ็กเกอร์กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ critical ใน WooCommerce Payments เพื่อเข้าถึงสิทธิ์ของผู้ใช้งาน รวมถึงสิทธิ์ของผู้ดูแลระบบใน WordPress ที่มีช่องโหว่ (more…)