พบช่องโหว่ Cross-Site Scripting บน WordPress Plugin : WordPress plugin editor

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ WordPress 4.8.1 ช่องโหว่นี้เปิดช่องให้ Hacker อาศัยการตั้งชื่อ Plugin แบบพิเศษส่ง Script ที่เป็นอันตรายไปยังเว็บเพจ หากเหยื่อทำการเปิดหน้าเว็บขึ้นมา Hacker จะใช้ช่องโหว่นี้เพื่อใช้ขโมยค่า Cookie สำหรับใช้ Authentication ได้

 

ช่องโหว่หมายเลข :
CVE-2017-14721

ช่องโหว่ที่ตรวจพบ :
Cross-Site Scripting

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress WordPress 4.8.1

แนวทางแก้ไข :
อัพเกรด WordPress ให้เป็น Version ล่าสุด (4.8.2 ขึ้นไป)