Tags:
Node Thumbnail

นักวิจัยความปลอดภัยเริ่มค้นพบการโจมตีเว็บไซต์ WordPress ผ่านปลั๊กอินที่ชื่อว่า WP Mobile Detector โดยช่องโหว่ของตัวปลั๊กอินคือไม่มีการตรวจสอบด้านความปลอดภัยและลบอินพุตที่เป็นอันตรายที่ส่งเข้ามาโดยผู้เยี่ยมชมเว็บไซต์ จึงทำให้ผู้ไม่ประสงค์ดีสามารถส่งโค้ด PHP ที่เป็นอันตรายเข้าไปใน request และเว็บไซต์ที่ใช้ปลั๊กอินนี้จะรับเข้าไปรันได้

Douglas Santos นักวิจัยความปลอดภัยจาก Sucuri เผยว่าช่องโหว่นี้ง่ายต่อการเจาะมาก ผู้โจมตีแค่ส่ง request ไปยัง resize.php หรือ timthumb.php พร้อม backdoor URL ไปเท่านั้น

เนื่องจากตอนนี้ปลั๊กอินไม่มีการอัพเดตปิดช่องโหว่ ฉะนั้นแนะนำให้ผู้ใช้ที่กำลังใช้อยู่ถอนการติดตั้งออกทันที หรือวิธีแก้ที่ช่วยได้บางส่วนคือปิดการรันไฟล์ PHP ที่อยู่ในไดเรคทอรี่ของปลั๊กอินนี้ (แต่ก็ช่วยไม่ได้มากเพราะมีวิธีหลบเลี่ยง) โดยตอนนี้เว็บไซต์ WordPress ได้ลบปลั๊กอินนี้ไปแล้ว

ที่มา - Ars Technica

Get latest news from Blognone