យោងតាម សារព័ត៌មាន The Hacker News ភាពងាយរងគ្រោះដែលត្រូវបានតាមដានជា CVE-2023-3460 (ពិន្ទុ CVSS 9.8) មាននៅក្នុងកំណែទាំងអស់នៃកម្មវិធីជំនួយ Ultimate Member (ផ្នែកបន្ថែម) រួមទាំងកំណែចុងក្រោយបំផុត (2.6.6) ដែលបានចេញផ្សាយនៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2023។
Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមសម្រាប់បង្កើតទម្រង់អ្នកប្រើប្រាស់ និងសហគមន៍នៅលើគេហទំព័រ WordPress ។ វាក៏ផ្តល់នូវមុខងារគ្រប់គ្រងគណនីផងដែរ។
WPScan - ក្រុមហ៊ុនសន្តិសុខ WordPress បាននិយាយថា កំហុសសុវត្ថិភាពនេះគឺធ្ងន់ធ្ងរណាស់ដែលអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចពួកគេដើម្បីបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីជាមួយនឹងសិទ្ធិគ្រប់គ្រង ដោយផ្តល់ឱ្យពួក Hacker នូវការគ្រប់គ្រងពេញលេញលើគេហទំព័រដែលរងផលប៉ះពាល់។
Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមមួយដែលមានគេហទំព័រជាង 200,000 ប្រើប្រាស់វា។
ព័ត៌មានលម្អិតអំពីភាពងាយរងគ្រោះត្រូវបានរក្សាទុក ដោយសារមានការព្រួយបារម្ភអំពីការរំលោភបំពាន។ អ្នកជំនាញផ្នែកសុវត្ថិភាពមកពី Wordfence ពិពណ៌នាថា ខណៈពេលដែលកម្មវិធីជំនួយមានបញ្ជីនៃសោហាមឃាត់ដែលអ្នកប្រើប្រាស់មិនអាចធ្វើបច្ចុប្បន្នភាពបាននោះ មានវិធីសាមញ្ញក្នុងការរំលងតម្រងដូចជាការប្រើសញ្ញា ឬការអ៊ិនកូដតួអក្សរនៅក្នុងតម្លៃដែលមាននៅក្នុងកំណែរបស់កម្មវិធីជំនួយ។
កំហុសសុវត្ថិភាពត្រូវបានប្រកាសបន្ទាប់ពីមានរបាយការណ៍អំពីគណនីអ្នកគ្រប់គ្រងក្លែងក្លាយត្រូវបានបញ្ចូលទៅក្នុងគេហទំព័រដែលរងផលប៉ះពាល់។ វាបានជំរុញឱ្យអ្នកបង្កើតកម្មវិធីជំនួយបញ្ចេញការជួសជុលមួយផ្នែកក្នុងកំណែ 2.6.4, 2.6.5, និង 2.6.6។ ការអាប់ដេតថ្មីត្រូវបានរំពឹងទុកនៅក្នុងប៉ុន្មានថ្ងៃខាងមុខនេះ។
Ultimate Member បាននិយាយនៅក្នុងការចេញផ្សាយថ្មីថា ភាពងាយរងគ្រោះនៃការកើនឡើងសិទ្ធិត្រូវបានប្រើប្រាស់តាមរយៈ UM Forms ដែលអនុញ្ញាតឱ្យអ្នកខាងក្រៅបង្កើតអ្នកប្រើប្រាស់ WordPress កម្រិតគ្រប់គ្រង។ ទោះយ៉ាងណាក៏ដោយ WPScan បានចង្អុលបង្ហាញថាបំណះមិនពេញលេញ ហើយបានរកឃើញវិធីជាច្រើនដើម្បីគេចចេញពីវា មានន័យថា កំហុសនៅតែអាចត្រូវបានគេកេងប្រវ័ញ្ច។
ភាពងាយរងគ្រោះនេះកំពុងត្រូវបានប្រើដើម្បីចុះឈ្មោះគណនីថ្មីក្រោមឈ្មោះ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup និង wpenginer ដើម្បីបង្ហោះកម្មវិធីជំនួយ និងស្បែកដែលមានគំនិតអាក្រក់តាមរយៈផ្ទាំងគ្រប់គ្រងគេហទំព័រ។ Ultimate Members ត្រូវបានណែនាំអោយបិទកម្មវិធីជំនួយ រហូតដល់មានបំណះពេញលេញសម្រាប់ភាពងាយរងគ្រោះនេះ។
ប្រភពតំណ
Kommentar (0)