พบช่องโหว่บนปลั๊กอิน facebook บน WordPress

นักวิจัยด้านความปลอดภัย WordPress จาก pluginvulnerabilities.com พบ 2 ช่องโหว่จากปลั๊กอินที่พัฒนาโดย facebook ช่องโหว่ทั้ง 2 นี้จะช่วยให้แฮกเกอร์ทำการโจมตีแบบ cross-site request forgery (CSRF/XSRF) ได้

ช่องโหว่นี้มีอยู่ในปลั๊กอินที่ชื่อว่า Facebook for WooCommerce และ Messenger Customer Chat ในตอนนี้มีผู้ติดตั้งปลั๊กอิน Messenger Customer Chat กว่า 20,000 คนแล้ว ส่วน Facebook for WooCommerce มีผู้ติดตั้งไปแล้วกว่า 20,000 คนเช่นกัน

ปลั๊กอิน Messenger Customer Chat เป็นปลั๊กอินที่ช่วยให้ผู้ใช้สามารถแชทผ่าน facebook บน WordPress ได้ ส่วนปลั๊กอิน Facebook for WooCommerce เป็นปลั๊กอินที่ช่วยในการเชื่อมต่อสินค้าใน Woocomerce ไปยัง Facebook

ในตอนนี้แม้จะยังไม่มีการออกมาเปิดเผยเกี่ยวกับวิธีการทำงานของช่องโหว่นี้ แต่ทาง pluginvulnerabilities.com ออกมาแจ้งว่าทาง WordPress.org นั้นพยายามปิดบังช่องโหว่บนปลั๊กอินต่างๆ ทั้งๆ ที่พวกเขาพยามโพสช่องโหว่ที่พบเหล่านั้นบน WordPress Support Forum แต่โพสเหล่านั้นก็ถูกลบออกไป

ส่วนทางทีมงานของ WordPress ก็บอกว่าทาง pluginvulnerabilities.com ก็ทำผิดกฎ เช่นกัน เนื่องจากมีการนำช่องโหว่ที่พบไปเปิดเผยก่อน โดยไม่ส่งอีเมลมาให้ทางทีมงาน WordPress ก่อน เพื่อให้ทางทีมงานได้ติดต่อกับผู้พัฒนาโดยโดยตรง ซึ่งถือว่าเป็นการกระทำที่ผิดนโยบายของ WordPress

ที่มา Threat Post