พบช่องโหว่ SQL Injection ใน Ruby On Rail version 5.1.4 แนะนำให้ update

Ruby On Rail ถือเป็นอีกหนึ่งใน framework ของ Web Application ที่ได้รับความนิยมสูงมาก ล่าสุดมีการเปิดเผยว่าพบ SQL Injection SQL Injection ดังกล่าวพบใน Ruby On Rail version 5.1.4 หรือน้อยกว่า โดยจะเกิด SQL Injection ได้ก็ต่อเมื่อกำหนดใน setting ให้มี configure เป็น flags: [MULTI_STATEMENTS]…
View Post

WordPress ปล่อย update version 4.8.3 อุดช่องโหว่ SQL Injection

WordPress เป็น CMS ที่มีการใช้งานกันอย่างแพร่หลาย ล่าสุดได้ปล่อย update version ใหม่ออกมาเพื่ออุดช่องโหว่ SQL Injection WordPress พบว่า function $wpdb->prepare() มีช่องโหว่ ทำให้อาจเกิด query ที่ไม่ปลอดภัยได้ โดย WordPress core ไม่ได้รับผลกระทบโดยตรงจาก function ดังกล่าว แต่ทาง WordPress พยายามจะเพิ่มการป้องกันภัยเข้าไปในส่วน plugin ต่างๆที่ใช้ function…
View Post

พบช่องโหว่ร้ายแรงใน WordPress Plugin ที่มีเว็บไซด์ใช้ถึง 300,000 กว่าเว็บ

Sucuri พบช่องโหว่ SQL Injection และมี Security Researcher พบ XSS ใน plugin เก็บรายละเอียดการใช้งานของผู้ใช้ที่ชื่อว่า WP Statistics ซึ่งเป็น plugin ที่ได้รับความนิยมอย่างมากโดยพบว่ามีการใช้งานอยู่ในเว็บไซด์ถึง 300,000 กว่าเว็บไซด์ Sucuri พบว่าในส่วนหลังจาก login เรียบร้อย user admin สามารถที่จะดึงข้อมูลของผู้เข้าเว็บไซด์ได้ผ่าน code ตามด้านล่าง จากภาพจะเห็นว่า wpstatistics…
View Post

พบช่องโหว่ SQL Injection ใน Joomla version 3.7.0

Joomla เพิ่งจะปล่อย version 3.7.0 ไม่นาน ก็จำเป็นต้องปล่อย Joomla version 3.7.1 มาเสียแล้ว เนื่องด้วยทาง Sucuri พบช่องโหว่ SQL Injection ซึ่งถือว่าเป็นช่องโหว่ร้ายแรงใน version ดังกล่าว Marc-Alexandre Montpas จากบริษัท Sucuri พบช่องโหว่ SQL Injection ใน Joomla version 3.7.0 ซึ่งทาง Marc-Alexandre…
View Post