มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชั่นจนถึงเวอร์ชัน 4.6.13 เมื่อวันที่ 20 สิงหาคม 2567 ที่ผ่านมา
ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้ไม่ประสงค์ดีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้
โดย WPML เป็นปลั๊กอินที่ได้รับความนิยมที่ใช้สร้างเว็บไซต์ WordPress หลายภาษา ซึ่งมีการติดตั้งโปรแกรม และใช้งานมากกว่าหนึ่งล้านครั้ง
ผู้เชี่ยวชาญด้านความปลอดภัยของ stealthcopter ซึ่งเป็นผู้ค้นพบ และรายงานช่องโหว่ CVE-2024-6386 ระบุว่าปัญหาอยู่ที่การจัดการกับ shortcodes ของ plugin ที่ใช้สำหรับแทรกเนื้อหาการโพสต์ เช่น เสียง รูปภาพ และวิดีโอ
โดยระบุว่า ปลั๊กอินนี้ใช้เทมเพลต Twig เพื่อแสดงเนื้อหาใน shortcodes แต่ไม่สามารถจัดการกับ input ได้ ซึ่งทำให้เกิด server-side template injection (SSTI) ได้
SSTI (Server-Side Template Injection) เกิดขึ้นเมื่อผู้ไม่ประสงค์ดีใช้ native template syntax เพื่อแฝงเนื้อหาที่เป็นอันตรายลงในเทมเพลตเว็บ จากนั้นจะรันโค้ดบนเซิร์ฟเวอร์จนทำให้เกิดช่องโหว่ และส่งผลให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมเครื่องที่ถูกโจมตีได้
OnTheGoSystems ของปลั๊กอิน WPML ระบุว่า การอัปเดตนี้แก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้ที่มีสิทธิ์บางอย่างจะไม่สามารถใช้งานได้เหมือนเดิม แต่ปัญหานี้ไม่น่าจะเกิดขึ้น เนื่องจากผู้ใช้ต้องมีสิทธิ์แก้ไขใน WordPress และเว็บไซต์ต้องมีการตั้งค่าที่เฉพาะเจาะจง
คำแนะนำ
ให้ผู้ใช้งานปลั๊กอินทำการอัปเดตแพตช์ล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น
Ref : thehackernews
ไม่มีความคิดเห็น:
แสดงความคิดเห็น