หน้าแรก Security Patch WordPress อุดช่องโหว่ SQL Injection ในแพทช์ความปลอดภัยตัวล่าสุด

WordPress อุดช่องโหว่ SQL Injection ในแพทช์ความปลอดภัยตัวล่าสุด

แบ่งปัน

มีการเปิดเผยข้อมูลของบั๊กใหม่บน WordPress ที่เปิดช่องให้สามารถโจมตีแบบ SQL Injection จนนำไปสู่การโดนยึดครองเว็บไซต์ทั้งหมด โดยเป็นช่องโหว่บนระบบจัดการคอนเท็นต์หรือ CMS ตั้งแต่รุ่น 4.8.2 ลงมา ซึ่งเมื่อวันอังคารที่ผ่านมานั้น WordPress ได้ประกาศเปิดตัวรุ่น 4.8.3 ที่มีการแพทช์ช่องโหว่สำคัญดังกล่าวให้โหลดแล้ว

ซึ่ง WordPress กำชับกับผู้ใช้ทุกรายให้อัพเดตเว็บไซต์ด้วยเวอร์ชั่นใหม่ในทันที ทั้งนี้ช่องโหว่ดังกล่าวเป็นการประมวลผลข้อมูลตัวอักษรบางอย่างผิดปกติ ที่ทำให้ฟังก์ชั่น $wpdb->prepare() สร้าง Query ที่ไม่ปลอดภัยอันเป็นเหตุให้สามารถทำ SQL Injection ได้

แม้โค้ดแกนหลักของ WordPress ไม่ได้มีช่องโหว่ดังกล่าวโดยตรง แต่แพทช์ล่าสุดนี้ก็ได้วางมาตรการป้องกันเพื่อไม่ให้ปลั๊กอินและธีมต่างๆ สร้างช่องโหว่ดังกล่าวขึ้นมาได้อีก สำหรับผู้ที่ค้นพบบั๊กครั้งนี้คือ Anthony Ferrara นักวิจัยด้านความปลอดภัย ซึ่งรายงานบั๊กนี้ผ่านแพลตฟอร์มล่าค่าหัวบั๊กอย่าง HackerOne ตั้งแต่วันที่ 20 กันยายน

ทั้งนี้ Ferrara กล่าวว่า หลังจากรายงานให้ WordPress ทราบนั้น กลับไม่ได้รับการตอบสนองใดๆ เป็นเวลาหลายสัปดาห์จนกระทั่งเขาตัดสินใจแจ้งทางทีมงาน WordPress อีกครั้งว่าจะเปิดเผยรายละเอียดบั๊กต่อสาธารณะ จึงทำให้ WordPress กลับมาสนใจและให้ความร่วมมือในการออกแพทช์ โดยผู้ใช้สามารถกดอัพเดตได้จากระบบของตัวเอง หรือดาวน์โหลดมาติดตั้งเองจากเว็บก็ได้

ที่มา : http://www.zdnet.com/article/wordpress-patches-sql-injection-bug-in-emergency-release