พบช่องโหว่ปลั๊กอิน Yuzo Related Posts บน WordPress

เมื่อวันที่ 30 มีนาคม 2019 ผู้พัฒนาปลั๊กอิน Yuzo Related Posts ได้ลบปลั๊กอินนี้ออกจากรายการปลั๊กอินบน WordPress แล้ว เนื่องจากบริษัทรักษาความปลอดภัยของ WordPress ได้ออกมาเปิดเผยช่องโหว่ของปลั๊กอินนี้

Dan Moen นักวิจัยจาก Defiant ได้อธิบายว่า ช่องโหว่นี้เกิดจากไม่มีการตรวจสอบความถูกต้อง ทำให้แฮกเกอร์สามารถแก้ไขค่า yuzo_related_post_options เพื่อฉีดสคริปต์ที่เป็นอันตราย โดยใช้ช่องโหว่ฟังก์ชัน is_admin() ซึ่งฟังก์ชันนี้จะทำการตรวจสอบว่าผู้ใช้นั้นได้อยู่ในส่วนของผู้ดูแลระบบ แทนที่จะตรวจสอบว่าผู้ใช้นั้นเป็นผู้ดูแลระบบ ดังภาพ


ที่มาภาพ: Bleeping Computer

แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เปลี่ยนเส้นทางของเว็บไซต์ไปยังเว็บที่แฮกเกอร์สร้างไว้ เมื่อถอดรหัสจากภาพด้านบนจะพบว่ามีการฉีดสคริปต์ https://hellofromhony[.]org/counter เข้าไปยังส่วนหัวของหน้าเพจ ดังภาพ


ที่มาภาพ: Bleeping Computer

สำหรับรายละเอียดเกี่ยวกับช่องโหว่นี้สามารถดูได้ที่ Wordfence: Yuzo Related Posts Zero-Day Vulnerability Exploited in the Wild

ในตอนนี้มีผู้ใช้ที่ติดตั้งปลั๊กอินนี้ไปแล้วมากกว่า 60,000 ราย ซึ่งไม่ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้เลย

สำหรับวิธีการป้องกันแนะนำให้ทำการลบปลั๊กอินนี้ออกไปก่อนจนกว่าผู้พัฒนาจะออกเวอร์ชั่นใหม่ออกมา

ที่มา: Bleeping Computer