พบช่องโหว่ใน WordPress CMS Core ทำให้ Hacker สามารถขโมยเว็บไซต์ได้

WordPress นักวิจัยด้านความปลอดภัยจาก RIPS TECH ได้เปิดเผยถึงช่องโหว่ที่เกี่ยวกับการจัดการบทความใน WordPress ช่องโหว่นี้เกิดจากการที่ผู้ใช้ที่สามารถเข้ามาแก้ไข เพิ่มรูป หรือลบรูปในบทความ แทรก code ที่เป็นอันตรายลงใน WordPress ซึ่งจะไปลบไฟล์ในส่วนของ WordPress CMS Core Hacker จะใช้ประโยชน์จากช่องโหว่นี้ทำยึดเว็บไซต์ของผู้ใช้ แล้วติดตั้งเว็บไซต์ใหม่ของตนเองลงไป

นี่เป็นวีดิโอที่ทางทีมงาน RIPS แสดงให้เห็นถึงขั้นตอนการขโมยเว็บไซต์

ที่มาของวีดิโอ :RIPSTECH

ช่องโหว่นี้มีผลกระทบต่อ WordPress เวอร์ชั่น 4.9.6 ลงไป

ทางทีมงานของ RIPS ได้รายงานปัญหานี้กับทางทีมงาน WordPRess ตั้งแต่เดือน พฤศจิกายน แต่ทางทีมพัฒนาของ WordPress ยังไม่มีการออกแพทช์เพื่อแก้ไขช่องโหว่นี้ เพราะทาง WordPress คิดว่าช่องโหว่นี้ไม่ได้รุนแรงแต่อย่างใด เนื่องจาก การที่ Hacker จะใช้ประโยชน์จากช่องโหว่นี้จะต้องมีสิทธิ์เข้าถึงเว็บไซต์ในระดับ author-level เท่านั้น

ในตอนนี้ทางทีมงาน RIPS ได้ออก Hotfix เพื่อแก้ไขช่องโหว่นี้ชั่วคราว ซึ่งเป็น code PHP ซึ่งเจ้าของเว็บไซต์จะต้องเพิ่มไฟล์ funtion.php ลงในโฟลเดอร์ธีมที่ใช้งานปัจจุบัน
สำหรับ Hotfix เพื่อแก้ไขปัญหานี้ดูได้ที่ RIPSTECH

ที่มาข่าว RIPSTECH, Bleeping Computer