ចំណុចខ្សោយផ្នែកសុវត្ថិភាពមួយធ្វើឱ្យគេហទំព័រ WordPress ចំនួន 200,000 ប្រឈមនឹងហានិភ័យ។

[ការផ្សាយពាណិជ្ជកម្ម_1]

យោងតាម The Hacker News ចំណុចខ្សោយនេះ ដែលមានលេខកូដតាមដាន CVE-2023-3460 (ពិន្ទុ CVSS 9.8) មាននៅក្នុងគ្រប់កំណែទាំងអស់នៃកម្មវិធីជំនួយ Ultimate Member (ផ្នែកបន្ថែម) រួមទាំងកំណែចុងក្រោយបំផុត (2.6.6) ដែលចេញផ្សាយនៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2023។

Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមមួយដែលជួយបង្កើតប្រវត្តិរូបអ្នកប្រើប្រាស់ និងសហគមន៍នៅលើគេហទំព័រ WordPress។ ឧបករណ៍ប្រើប្រាស់នេះក៏ផ្តល់នូវមុខងារគ្រប់គ្រងគណនីផងដែរ។

WPScan ដែលជាក្រុមហ៊ុនសុវត្ថិភាព WordPress បានបញ្ជាក់ថា ចំណុចខ្សោយសុវត្ថិភាពនេះគឺធ្ងន់ធ្ងរខ្លាំងណាស់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកប្រយោជន៍ពីវាដើម្បីបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីជាមួយនឹងសិទ្ធិរដ្ឋបាល ដែលផ្តល់ឱ្យពួក Hacker នូវការគ្រប់គ្រងពេញលេញលើគេហទំព័រដែលរងផលប៉ះពាល់។

Lỗ hổng bảo mật khiến 200.000 website WordPress gặp nguy hiểm - Ảnh 1. — Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមមួយដែលប្រើប្រាស់ដោយគេហទំព័រជាង 200,000។

ព័ត៌មានលម្អិតអំពីភាពងាយរងគ្រោះត្រូវបានលាក់បាំងដោយសារតែការព្រួយបារម្ភអំពីការរំលោភបំពាន។ អ្នកជំនាញសន្តិសុខមកពី Wordfence បានពិពណ៌នាថា ទោះបីជាកម្មវិធីជំនួយនេះមានបញ្ជីសោដែលត្រូវបានហាមឃាត់ដែលអ្នកប្រើប្រាស់មិនអាចធ្វើបច្ចុប្បន្នភាពបានក៏ដោយ ក៏នៅតែមានវិធីសាមញ្ញៗដើម្បីរំលងតម្រង ដូចជាការប្រើសញ្ញា (/) ទៅមុខ ឬការអ៊ិនកូដតួអក្សរនៅក្នុងតម្លៃដែលបានផ្តល់នៅក្នុងកំណែនៃកម្មវិធីជំនួយ។

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនេះត្រូវបានបង្ហាញបន្ទាប់ពីមានរបាយការណ៍អំពីគណនីអ្នកគ្រប់គ្រងក្លែងក្លាយដែលត្រូវបានបន្ថែមទៅគេហទំព័រដែលរងផលប៉ះពាល់។ នេះបានជំរុញឱ្យអ្នកអភិវឌ្ឍន៍កម្មវិធីជំនួយចេញផ្សាយការជួសជុលដោយផ្នែកនៅក្នុងកំណែ 2.6.4, 2.6.5 និង 2.6.6។ ការអាប់ដេតថ្មីត្រូវបានគេរំពឹងថានឹងចេញផ្សាយក្នុងរយៈពេលប៉ុន្មានថ្ងៃខាងមុខនេះ។

Ultimate Member បានបញ្ជាក់នៅក្នុងការចេញផ្សាយចុងក្រោយរបស់ខ្លួនថា ភាពងាយរងគ្រោះនៃការបង្កើនសិទ្ធិ ដែលត្រូវបានកេងប្រវ័ញ្ចតាមរយៈ UM Forms អនុញ្ញាតឱ្យបុគ្គលដែលគ្មានការអនុញ្ញាតបង្កើតអ្នកប្រើប្រាស់ WordPress កម្រិតអ្នកគ្រប់គ្រង។ ទោះជាយ៉ាងណាក៏ដោយ WPScan បានចង្អុលបង្ហាញថា បំណះទាំងនេះមិនទាន់ពេញលេញទេ ហើយមានវិធីសាស្រ្តជាច្រើនដើម្បីរំលងពួកវាត្រូវបានរកឃើញ មានន័យថាភាពងាយរងគ្រោះនៅតែអាចកេងប្រវ័ញ្ចបាន។

ចំណុចខ្សោយនេះកំពុងត្រូវបានកេងប្រវ័ញ្ចដើម្បីចុះឈ្មោះគណនីថ្មីក្រោមឈ្មោះ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup និង wpenginer ដើម្បីផ្ទុកឡើងកម្មវិធីជំនួយ និងស្បែកព្យាបាទតាមរយៈផ្ទាំងគ្រប់គ្រងរបស់គេហទំព័រ។ អ្នកប្រើប្រាស់ Ultimate Member គួរតែបិទកម្មវិធីជំនួយរហូតដល់ចំណុចខ្សោយសុវត្ថិភាពនេះត្រូវបានជួសជុលយ៉ាងពេញលេញ។

[ការផ្សាយពាណិជ្ជកម្ម_២]
តំណភ្ជាប់ប្រភព