พบช่องโหว่ Data Manipulation บน Wordpress :WordPress wpdb::prepare() method SQL injection

เราได้รับรายงานแจ้งเตือนช่องโหว่ด้านความปลอดภัยของ WordPress SQL injection ช่องโหว่นี้เปิดช่องให้ Hacker สามารถส่งคำสั่ง SQL โดยใช้วิธี  wpdb::prepare() ซึ่งสามารถทำให้ Hacker สามารถดูเพิ่มแก้ไขหรือลบข้อมูลในฐานข้อมูลได้

 

ช่องโหว่หมายเลข :
CVE-2017-16510

ช่องโหว่ที่ตรวจพบ :
Data Manipulation

ผลิตภัณฑ์ที่เกี่ยวข้อง :
WordPress WordPress 4.8.2

แนวทางแก้ไข :
อัพเกรด WordPress ให้เป็นเวอร์ชั่นล่าสุด (เวอร์ชั่น 4.8.3 ขึ้นไป)