ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

Jinson Varghese Behanan นักวิเคราะห์ความปลอดภัยข้อมูลจาก Astra ได้เปิดเผยถึงช่องโหว่ที่มีความรุนแรงในปลั๊กอิน WordPress ยอดนิยมที่มีชื่อว่า Contact Form 7 ซึ่งมีการดาวน์โหลดและติดตั้งอยู่กว่า 5 ล้านครั้ง

ช่องโหว่ที่มีความรุนแรงในปลั๊กอิน Contact Form 7 ถูกติดตามด้วยรหัส CVE-2020-35489 โดยช่องโหว่เกิดจากการตรวจสอบอักขระที่อยู่ในไฟล์ที่ถูกอัปโหลดไม่ดีพอ ซึ่งช่องโหว่จะเปิดโอกาศให้ผู้โจมตีสามารถ Bypass การตรวจสอบไฟล์ที่ทำการอัปโหลด ผู้โจมตีที่ทำการสร้างไฟล์ขึ้นมาเป็นพิเศษจะสามารถเรียกใช้โค้ดในไฟล์ที่ถูกอัปโหลดได้ ช่องโหว่นี้จะกระทบกับปลั๊กอิน Contact Form 7 เวอร์ชันก่อน 5.3.2

ทั้งนี้ผู้ดูแลเว็บไซต์ควรรีบทำการอัปเดตแพตช์ความปลอดภัยและติดตั้งปลั๊กอิน Contact Form 7 ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer

ทีม Threat Intelligence จาก Wordfence ได้เปิดเผยถึงช่องโหว่ที่มีความร้ายเเรงที่จะช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ใดๆ ได้โดยไม่ได้รับอนุญาตบนโฮสที่มีช่องโหว่ โดยช่องโหว่นี้ถูกพบใน wpDiscuz ซึ่งเป็นปลั๊กอินจัดการระบบการแสดงความคิดเห็นบน WordPress ที่จะจัดการแสดงความคิดเห็นแบบเรียลไทม์ด้วย Ajax โดยปลั๊กอินนี้ถูกติดตั้งบนโฮสต์ WordPress มากกว่า 70,000 แห่ง

Chamberland อธิบายว่าช่องโหว่เกิดจากฟังก์ชันการตรวจสอบไฟล์ mime type ใน wpDiscuz ที่เป็นเวอร์ชั่นเก่าจึงทำให้เกิดการอนุญาตให้สามารถใช้ไฟล์จากสิ่งที่แนบมากับรูปภาพ จึงทำให้เกิดการอัปโหลดไฟล์อื่นๆ ได้โดยไม่ได้รับอนุญาต ซึ่งเมื่อไฟล์ถูกอัปโหลดไปแล้วผู้โจมตีสามารถเรียกใช้โค้ดเพื่อรันคำสั่งบนเซิร์ฟเวอร์จากระยะไกลได้

Chamberland กล่าวว่าช่องโหว่นี้ถูกประเมินคะเนนความรุนเเรงตาม CVSS อยู่ที่ 10/10 โดยช่องโหว่จะมีผลกับ wpDiscuz เวอร์ชันต่ำกว่า 7.0.5 ซึ่งปัจจุบันมีผู้ติดตั้งและใช้งานปลั๊กอิน wpDiscuz บน WordPress และมีความเสี่ยงต่อการถูกใช้ประโยชน์จากช่องโหว่จำนวน 45,000 แห่ง

ทั้งนี้ผู้ใช้งานและผู้ดูเเลเว็บไซต์ควรรีบทำการอัปเดตปลั๊กอิน wpDiscuz ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อลดความเสี่ยงต่อการโจมตีโดยใช้ประโยชน์จากช่องโหว่

ที่มา:

bleepingcomputer.

นักวิจัยจาก Sophos ได้เปิดเผยว่าพบแคมเปญฟิชชิ่งรูปแบบใหม่ที่กำหนดเป้าหมายไปยังเจ้าของบล็อกเกอร์และเจ้าของเว็บไซต์ด้วยอีเมลที่ปลอมแปลงมาจากผู้ให้บริการโฮสต์ติ้ง ด้วยการเสนอการอัปเกรดโดเมนเพื่อใช้งาน DNSSEC

นักวิจัยกล่าวว่าผู้ประสงค์ร้ายนั้นจะใช้ข้อมูลจาก WHOIS เพื่อส่งอีเมลฟิชชิ่งไปหาเป้าหมายและจะทำการปลอมแปลงเป็นผู้ให้บริการ WordPress, NameCheap, HostGator, Microsoft Azure และบริษัทโฮสติ้งที่มีชื่อเสียงอื่นๆ โดยเนื้อหาอีเมลจะเสนอให้ทำการอัพเกรด DNS ของเว็บไซต์ให้ไปใช้โปรโตคอล DNS ที่ใหม่กว่าคือ DNSSEC เพียงเเค่ผู้ใช้ทำการคลิกที่ลิงก์เพื่อเปิดใช้งานฟีเจอร์นี้

นักวิจัยจาก Sophos อธิบายว่าโปรโตคอล DNSSEC นั้นไม่ใช่สิ่งที่เจ้าของเว็บไซต์จะทำการติดตั้งเอง โดยการติดตั้งและอัพเกรดนั้นจะต้องถูกทำการตั้งค่ามาจากผู้ให้บริการโฮสติ้ง ส่วนเป้าหมายของแคมเปญนั้นคือการขโมย credential ของผู้ใช้งานที่ไม่สงสัยหรือไม่มีความรู้เกี่ยวกับโปรโตคอล DNSSEC

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งที่ทำการเปิดอ่านและให้ทำการระมัดระวังในการคลิกลิ้งค์จากอีเมลหรือแม้เเต่การกรอกแบบฟอร์มจากเว็ปไซต์และระบบที่ไม่คุ้นเคย เพื่อป้องกันการถูกขโมยข้อมูลของผู้ใช้

ที่มา: bleepingcomputer

WordPress ได้ประกาศการอัปเดตซอฟต์แวร์เวอร์ชั่นใหม่ 5.4.2 โดยเวอร์ชั่นใหม่นี้มีการแก้ไขข้อบกพร่องในการใช้งานทางด้านความปลอดภัยที่พบในรุ่นก่อนหน้าทั้งหมดจำนวน 23 รายการ โดยรายละเอียดการเเก้ไขปัญหามีดังนี้

ช่องโหว่ Cross-site scripting (XSS) ถูกค้นพบโดย Sam Thomas (jazzy2fives) ซึ่งช่องโหว่จะสามารถทำให้ผู้ใช้มีการยืนยันตัวตนที่มีสิทธิ์ต่ำสามารถเพิ่ม JavaScript เข้าไปในโพสต์ของช่องเครื่องมือ Block editor
ช่องโหว่ Cross-site scripting (XSS) ถูกค้นพบโดย Props to Luigi - (gubello.

พบช่องโหว่ XSS บน WordPress ปลั๊กอินที่จะช่วยให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้

นักวิจัยจาก Sucuri Labs ได้ทำการค้นพบช่องโหว่นี้เป็นช่องโหว่ประเภท XSS บน WordPress ปลั๊กอินที่ชื่อ ”WP Product Review Lite” ที่ทำให้ผู้โจมตีสามารถยึดครองเว็บไซต์ได้ โดยพบว่าในขณะนี้มีเว็บไซต์ติดตั้งปลั๊กอินนี้มีจำนวน 40,000 เว็บไซต์

ปลั๊กอิน “WP Product Review Lite” เป็นปลั๊กอินที่จะช่วยให้ผู้ใช้งานทำการสร้างเนื้อหาและบทความอัตโนมัติโดยใช้เทมเพลตที่กำหนดไว้

ช่องโหว่เกิดจากการบายพาสพารามิเตอร์ถูกตั้งค่าภายในแอตทริบิวต์ HTML ซึ่งจะทำให้ผู้โจมตีสามารถส่งสคริปต์ที่เป็นอันตรายไปเพื่อทำการจัดเก็บข้อมูลในฐานข้อมูลของเว็บไซต์เป้าหมายหรือเพื่อทำการรีไดเร็คผู้ใช้งานไปเว็ปไซต์ที่เป็นอันตรายเพื่อขโมยคุกกี้เซสชันและตรวจสอบสิทธิ์ เมื่อได้ข้อมูลครบแล้วผู้โจมตีสามารถยึดครองเว็บไซต์ที่เป้นเป้าหมายได้

ผู้ใช้ควรทำการอัปเดตปลั๊กอิน ”WP Product Review Lite” เป็นเวอร์ชัน 3.7.6 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ ทำการโจมตีเพื่อเข้ายึดเว็บไซต์และการรีไดเร็คผู้เยี่ยมชมหรือผู้ดูแลระบบไปยังเว็บไซต์ที่เป็นอันตราย

ที่มา: securityaffairs

นักวิจัยที่ MalwareHunterTeam พบว่ามัลแวร์ WP-VCD ถูกแฝงมาใน WordPress ปลั๊กอินที่ชื่อ “COVID-19 Coronavirus – Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” และ “ Covid-19” ถูกเเพร่กระจายไปอย่างรวดเร็วโดยมัลแวร์ WP-VCD ยังพยายามที่จะโจมตีเว็บไซต์อื่น ๆ ที่ใช้โฮสต์ร่วมกัน

ไฟล์ปลั๊กอินที่ชี่อ 'class.

ล่าสุดเมื่อวันที่ 13 ธันวาคม 2561 ทาง WordPress ประกาศออกแพตช์แก้ไขช่องโหว่ในเวอร์ชันล่าสุด 5.0.1

WordPress เวอร์ชัน 5.0.1 มีการแก้ไขปัญหาด้านความปลอดภัยที่ส่งผลกระทบย้อนหลังตั้งแต่เวอร์ชัน 3.7 โดยทาง WordPress ได้แนะนำให้ผู้ใช้งานทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

WordPress เวอร์ชัน 5.0 และก่อนหน้านี้ได้รับผลกระทบจากข้อผิดพลาดหลายรายการที่ถูกค้นพบโดยผู้เชี่ยวชาญ ซึ่งตอนนี้ได้รับการแก้ไขในเวอร์ชัน 5.0.1 ผู้ใช้ WordPress ที่ยังใช้งานเป็น WordPress 4.9 และเวอร์ชันที่เก่ากว่านั้น สามารถทำการดาวน์โหลดเป็น WordPress 5.0 ก่อนได้

โดยสามารถเข้า Download WordPress 5.0.1 ได้ที่ https://wordpress.

URL shortener, ปลั๊กอินปลอมและไฟล์ popuplink.js ที่เป็นอันตราย เป็น 3 อย่างที่พบว่าถูกใช้บน WordPress เพื่อแพร่กระจายมัลแวร์ตั้งแต่เดือนกรกฎาคม จากการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ตกเป็นเหยื่อไปสู่เว็บไซต์หลอกลวงและโฆษณาต่าง ๆ

ทีมวิจัยจาก Sucuri ได้พบเมื่อวันที่ 17 สิงหาคม ว่ามีเว็บไซต์ที่มีมัลแวร์ popuplink.

พบช่องโหว่ denial of service (DoS) บนแพลตฟอร์ม WordPress CMS ส่งผลไปยังเว็บไซต์ที่ใช้งาน WordPress จำนวนมาก

Barak Tawily นักวิจัยด้านความมั่นคงจากอิสราเอล ตรวจพบช่องโหว่ denial of service (DoS) บนแพลตฟอร์ม WordPress CMS ส่งผลให้ผู้ประสงค์ร้ายสามารถโจมตี DoS ไปยังเว็บไซต์ที่ใช้งาน WordPress โดยไม่จำเป็นต้องใช้แบนด์วิธจำนวนมากๆ ในการโจมตี ส่งผลต่อ WordPress เกือบทุกเวอร์ชันที่ปล่อยออกมาในช่วง 9 ปีที่ผ่านมา รวมทั้งเวอร์ชันล่าสุดของ WordPress อย่างเวอร์ชัน 4.9.2

ช่องโหว่ดังกล่าวเกิดจาก "load-scripts.