គេហទំព័រដែលប្រើ WordPress ត្រូវលុបកម្មវិធីជំនួយទាំងពីរនេះចេញ។

យោងតាម ​​The Hacker News កម្មវិធីជំនួយ WordPress ពីរគឺ Malware Scanner និង Web Application Firewall ពី miniOrage កំពុងជួបប្រទះនឹងភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពធ្ងន់ធ្ងរ CVE-2024-2172 ដែលត្រូវបានរកឃើញដោយ Stiofan ដែលមានពិន្ទុភាពធ្ងន់ធ្ងរ 9.8 លើ 10 នៅលើប្រព័ន្ធដាក់ពិន្ទុភាពងាយរងគ្រោះ CVSS។

ភាពងាយរងគ្រោះនេះមានផលប៉ះពាល់យ៉ាងទូលំទូលាយ ពីព្រោះទោះបីជាអ្នកអភិវឌ្ឍន៍បានលុបវាចេញពីហាងកម្មវិធី WordPress នៅថ្ងៃទី 7 ខែមីនា ឆ្នាំ 2024 ក៏ដោយ វានៅតែអាចបង្កបញ្ហាបាន ដោយសារកម្មវិធី Malware Scanner ត្រូវបានកត់ត្រាថាត្រូវបានដំឡើង និងសកម្មនៅលើគេហទំព័ររហូតដល់ 10,000 បើប្រៀបធៀបទៅនឹង 300 សម្រាប់ Web Application Firewall។

Wordfence បានបញ្ជាក់ថា ភាពងាយរងគ្រោះនេះបណ្តាលមកពីកង្វះការត្រួតពិនិត្យនៅក្នុងកូដរបស់កម្មវិធីជំនួយ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើបច្ចុប្បន្នភាពពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ណាមួយដោយបំពាន និងលើកកម្ពស់សិទ្ធិជាអ្នកគ្រប់គ្រងដោយមិនចាំបាច់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលអាចនាំឱ្យមានការសម្របសម្រួលគេហទំព័រទាំងស្រុង។

ដោយមានសិទ្ធិជាអ្នកគ្រប់គ្រង ពួក Hacker អាចទាញយកកម្មវិធីជំនួយបន្ថែម ឯកសារ zip ព្យាបាទដែលមាន backdoor និងកែប្រែការបង្ហោះគេហទំព័រដើម្បីបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រព្យាបាទផ្សេងទៀត។

ពីមុន កម្មវិធីជំនួយស្រដៀងគ្នានេះដែលមានឈ្មោះថា RegistrationMagic ត្រូវបានរាយការណ៍ជាមួយនឹងលេខកូដងាយរងគ្រោះ CVE-2024-1991 និងពិន្ទុ CVSS 8.8 ដែលក៏ជាភាពងាយរងគ្រោះនៃការកើនឡើងសិទ្ធិធ្ងន់ធ្ងរផងដែរ។ កម្មវិធីជំនួយនេះក៏ត្រូវបានទាញយក និងដំឡើងច្រើនជាង 10,000 ដងផងដែរ។

WordPress គឺជាប្រព័ន្ធគ្រប់គ្រងមាតិកាប្រភពបើកចំហ (CMS) ដ៏ពេញនិយមមួយ ដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយនៅជុំវិញ ពិភពលោក ។ ភាពងាយស្រួលក្នុងការដំឡើង ការផ្ទុកឡើងមាតិកា និងការគ្រប់គ្រងរបស់វាធ្វើឱ្យវាក្លាយជាវេទិកាដ៏ល្អសម្រាប់គេហទំព័រប្រភេទផ្សេងៗ ដូចជាហាងលក់ទំនិញអនឡាញ វិបផតថល និងវេទិកាពិភាក្សា។ យោងតាម ​​​​w3techs គេហទំព័រចំនួន 43.1% ទូទាំងពិភពលោកបច្ចុប្បន្នប្រើប្រាស់វេទិកា CMS នេះ។