พบช่องโหว่บนปลั๊กอิน Contract Form 7 Plugin

พบช่องโหว่ในปลั๊กอิน Contract Form 7 Plugin ซึ่งเป็นปลั๊กอินที่นิยมใช้กันบน WordPress ช่องโหว่นี้จะช่วยให้แฮกเกอร์อัปโหลดไฟล์มัลแวร์หรือไฟล์ที่เป็นอันตรายลงบนเว็บของผู้ใช้ได้

ช่องโหว่นี้เกิดจากแบบฟอร์มที่ใช้อัปโหลดไฟล์ ที่อนุญาตให้อัปโหลดไฟล์ โดยไม่มีการตรวจสอบหรือเช็คว่าชื่อไฟล์นั้นมีการเพิ่มอักขระ หรือมีการเว้นวรรค หรือไม่ ทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้ข้ามผ่านการตรวจสอบ และอัปโหลดมัลแวร์หรือไฟล์ที่เป็นอันตรายๆ ต่างลงบนเว็บได้

แต่ก็มีวิธีป้องกันเบื้องต้น ที่จะช่วยให้แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ยากขึ้น ก็คือ

  • ลบไฟล์ที่อัปโหลดทันทีหลังจากที่ส่งไปเรียบร้อยแล้ว โดยไฟล์นั้นจะต้องเก็บไว้ในโฟลเดอร์ชั่วคราว ซึ่งถูกสร้างขึ้นมาด้วยวิธีการ Random ดังนั้นหากแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้จะต้องหาไฟล์ดังกล่าวให้เจอก่อนถูกลบถึงจะทำการโจมตีได้
  • มีการสั่งรันโค้ดใน .htaccess เพื่อไม่ให้เข้าถึงไฟล์ที่อัปโหลดใน Contract Form 7 Plugin แต่วิธีนี้จะใช้ได้ผลกับเว็บที่ออนอยู่บน Apache เท่านั้นนะ
  • นามสกุลของไฟล์จะต้องเป็นนามสกุลที่ได้กำหนดค่าไว้ใน Apache เท่านั้น โดยระบบปฏิบัติการนี้กำหนดให้ PHP เป็นตัวจัดการกับไฟล์ที่อัปโหลด
  • หากคุณใช้ปลั๊กอินโดยไม่มีการอัปโหลดไฟล์ คุณก็ไม่เสี่ยงต่อการโจมนี้

ช่องโหว่นี้จะเกิดกับปลั๊กอิน Contract Form 7 Plugin ตั้งแต่เวอร์ชั่น 5.3.1 ลงไป ดังนั้นเพื่อเป็นการป้องกันแนะนำให้อัปโหลดเป็นเวอร์ชั่น 5.3.2 โดยเร็วที่สุด

ที่มา: Wordfence