ชั้น 29 ออฟฟิศ แอท เซ็นทรัลเวิล์ด 999/9 พระราม 1 กรุงเทพฯ 10330
บริการตลอด 24 ชั่วโมง
ทุกวัน ไม่เว้นวันหยุด
0-2107-3466
โทรเลยดิจะรออะไร

พบการโจมตีผ่านปลั๊กอิน Advanced Custom Fields และ Advanced Custom Fields Pro ทำให้แฮกเกอร์ขโมยข้อมูลที่สำคัญไปได้

พบการโจมตีแบบ cross-site scripting attacks (XSS) ผ่านปลั๊กอิน Advanced Custom Fields และ Advanced Custom Fields Pro ซึ่งเป็นปลั๊กอินสำหรับ WordPress

การโจมตีนี้ถูกค้นพบโดย Rafie Muhammad นักวิจัยจาก Patchstack เมื่อวันที่ 2 พฤษภาคมที่ผ่านมา

ซึ่งช่องโหว่ที่เกิดขึ้นในปลั๊กอินนี้จะช่วยให้แฮกเกอร์ไม่ต้องได้รับการตรวจสอบสิทธิ์ทำให้แฮกเกอร์สามารถขโมยข้อมูลที่สำคัญและเข้ายึดเว็บไซต์ได้

โดยแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน ทำการโจมตีแบบ XSS จากนั้นก็จะวางสคริปต์ที่เป็นอันตรายลงบนเว็บ เมื่อมีผู้เข้าชมเว็บ แฮกเกอร์จะสั่งรันโค้ดบนเบราว์เซอร์ของผู้ใช้ทันที

หมายเลขของช่องโหว่นี้คือ CVE- 2023-30777 ซึ่งจะส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 6.1.5 ลงไป รวมไปถึงเวอร์ชันฟรีและ Pro ด้วย

ล่าสุดทางผู้พัฒนาปลั๊กอินหลังจากได้รับการแจ้ง ก็ได้ทำการออกเวอร์ชันอัปเดต 6.1.6 ในวันที่ 4 พฤษภาคม 2023

และในตอนนี้พบว่า มีการติดตั้งปลั๊กอินนี้ไปแล้วกว่า 2 ล้านเว็บไซต์ และจากสถิติการดาวน์โหลด 72.1% ยังใช้เวอร์ชันที่ต่ำกว่า 6.1 อยู่ ดังนั้นเพื่อเป็นการป้องกันการโจมตี แนะนำให้อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดคือ เวอร์ชัน 6.1.6

ที่มา: Bleeping Computer, Patchstack

รู้ลึก รู้จริงเรื่อง WordPress รู้ทันทุกช่องโหว่ ใช้บริการ WordPress Hosting กับ hostatom
สนใจอัพเดทข่าวสารเทคโนโลยีติดตามเรา hostatom โฮสติ้งคุณภาพ ดีที่สุดในไทยเลือกใช้โฮสอะตอม