พบ 2 ช่องโหว่ในปลั๊กอิน Post Grid WordPress Plugin

นักวิจัยด้านความปลอดภัยพบ 2 ช่องโหว่ในปลั๊กอิน Post Grid WordPress Plugin ซึ่งเป็นปลั๊กอินที่ติดตั้งบน WordPress ช่องโหว่ทั้งสองนี้จะช่วยให้แฮกเกอร์สามารถเข้ายึดเว็บไซต์ได้

ทั้งสองช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถโจมตีแบบ cross-site scripting (XSS) โดยแฮกเกอร์จะวางไฟล์ JavaScript ที่เป็นอันตรายไว้บนเว็บไซต์ ไฟล์นี้จะช่วยให้แฮกเกอร์ได้สิทธิ์ระดับแอดมิน หรือเพิ่ม Backdoor ลงในปลั๊กอิน หรือธีม หรือขโมยข้อมูลได้ ทั้งหมดที่กล่าวมานี้ ทำให้แฮกเกอร์สามารถเข้ายึดเว็บไซต์ได้

แต่อย่างไรก็ดีการที่แฮกเกอร์จะเข้าโจมตีผ่านปลั๊กอินนี้ได้ แฮกเกอร์จะต้องได้รับสิทธิ์เป็นสมาชิกของเว็บไซต์นั้นเสียก่อน

ระดับความรุนแรงของช่องโหว่นี้คือ 7.5 ซึ่งอยู่ในระดับสูง

นอกจากช่องโหว่นี้จะถูกพบในปลั๊กอิน Post Grid WordPress Plugin ยังพบในปลั๊กอิน Team Showcase อีกด้วย

ช่องโหว่นี้มีผลกระทบกับปลั๊กอิน Post Grid WordPress Plugin ตั้งแต่เวอร์ชั่น 2.0.72 ลงไป และปลั๊กอิน Team Showcase ตั้งแต่เวอร์ชั่น 1.22.15 ลงไป

เพื่อเป็นการป้องกันแนะนำให้ทำการอัพเดทปลั๊กอินทั้งสองให้เป็นเวอร์ชั่นล่าสุด โดยเวอร์ชั่นล่าสุดของ ปลั๊กอิน Post Grid WordPress Plugin คือเวอร์ชั่น 2.0.73 และปลั๊กอิน Team Showcase คือเวอร์ชั่น 1.22.16

ที่มา: Wordfence