Posts by tag
wordpress
WordPress เป็น CMS ชื่อดังที่ถูกนำไปใช้ website มากมายทั่วโลก โดย WordPress นั้นโดยปกติมี feature สำหรับการ automated update ตัว WordPress เอง โดย feature ดังกล่าวมีมาตั้งแต่ WordPress 3.7 หรือก็คือเมื่อ 4 ปีก่อน แต่ล่าสุดกลับพบว่า feature ดังกล่าวกลับใช้งานไม่ได้ซะแล้ว เมื่อผ่านไปวันเดียวหลังจากการปล่อย WordPress 4.9.3…
นักวิจัยทางด้าน security ชื่อ Barak Tawily พบช่องโหว่ DoS ใน WordPress ซึ่งเป็น CMS ชื่อดัง ทำให้เมื่อโจมตีตัวเว็บจะหยุดการทำงาน ทาง Barak พบช่องโหว่ DoS ที่ได้ CVE-2018-6389 ทำให้เว็บไซด์ที่ถูกสร้างด้วย CMS ชื่อดังอย่าง WordPress ไม่สามารถให้บริการต่อได้ โดยช่องโหว่ดังกล่าวเกิดที่ load-scripts.php ตัว script ดังกล่าวมี parameter…
WordPress ซึ่งเป็น CMS (Content Management System) สำหรับการทำเว็บไซด์ต่างๆ ซึ่งเป็นที่นิยมมาก ได้ออก version ใหม่ version 4.9.2 เพื่อเพิ่มและปรับปรุง Securtiy และ Maintenance โดยมีการปรับดังนี้ อุดช่องโหว่ XSS ใน Flash fallback files ใน lib MediaElement แก้ไข bug ไป 21…
Wordfence ซึ่งเป็น plugin ทางด้าน security ของ WordPress ได้พบว่ามีการฝัง backdoor ไว้ใน captcha plugin ของ WordPress ทำให้ใครที่รู้ก็สามารถสั่งงานและฝัง script ได้เพิ่มเติมมากมาย Wordfence ได้มีการคอยสอดส่อง WordPress Repository หรือแหล่ง download plugin ของ WordPress อยู่เสมอ เพื่อรอดูว่าหาก plugin ที่ถูกถอดออกไปนั้นมีปัญหาอะไรทางด้าน…
ทาง Sucuri พบการฝัง script เพื่อทำ KeyLogger ใน WordPress เยอะมากถึง 5,500 เว็บไซด์ และบางเว็บไซด์มีแถมการฝัง cryptocurrency miner อีกด้วย Script เหล่านั้น มีต้นทางมาจาก”cloudflare.solutions” domain, ซึ่งไม่ได้มีความเกี่ยวข้องใดๆกับ Cloudflare เลย, และทำการ log ทุกการพิมพ์ของ user ซึ่งตัว script มีการโหลดทั้งใน frontend…
WordPress ซึ่งเป็น CMS (Content Management System) สำหรับการทำเว็บไซด์ต่างๆ ซึ่งเป็นที่นิยมมาก ได้ออก version ใหม่ version 4.9.1 เพื่อเพิ่มและปรับปรุง Securtiy และ Maintenance โดยปรับดังนี้ ใช้วิธีการสร้าง hash เพื่อ newbloguser key แทนที่จะเป็นการทำ substring เพิ่มการทำ escape ค่า language attributes ที่ใช้ใน html…
WordPress เป็น CMS ที่มีการใช้งานกันอย่างแพร่หลาย ล่าสุดได้ปล่อย update version ใหม่ออกมาเพื่ออุดช่องโหว่ SQL Injection WordPress พบว่า function $wpdb->prepare() มีช่องโหว่ ทำให้อาจเกิด query ที่ไม่ปลอดภัยได้ โดย WordPress core ไม่ได้รับผลกระทบโดยตรงจาก function ดังกล่าว แต่ทาง WordPress พยายามจะเพิ่มการป้องกันภัยเข้าไปในส่วน plugin ต่างๆที่ใช้ function…
WordPress ยังคงเป็น CMS (Content Management System) ยอดนิยมสำหรับการนำไปสร้าง website มากมาย รวมถึงตกเป็นเป้าการโจมตีของ hacker มากมายด้วยเช่นกัน โดยปกติแล้ว WordPress นั้นไม่ได้รั่วที่ Core ของ WordPress แต่ตัวที่รั่วและทำให้ Hacker เข้าไปมากกว่าคือ plugin ของ WordPress มากกว่า ล่าสุดพบว่ามีการโจมตีไปยัง 3 plugin ที่มีช่องโหว่ทำให้ Hacker…
Sucuri พบช่องโหว่ SQL Injection และมี Security Researcher พบ XSS ใน plugin เก็บรายละเอียดการใช้งานของผู้ใช้ที่ชื่อว่า WP Statistics ซึ่งเป็น plugin ที่ได้รับความนิยมอย่างมากโดยพบว่ามีการใช้งานอยู่ในเว็บไซด์ถึง 300,000 กว่าเว็บไซด์ Sucuri พบว่าในส่วนหลังจาก login เรียบร้อย user admin สามารถที่จะดึงข้อมูลของผู้เข้าเว็บไซด์ได้ผ่าน code ตามด้านล่าง จากภาพจะเห็นว่า wpstatistics…
ยังคงวนเวียนกับช่องโหว่ของ WordPress โดยก่อนหน้านี้ได้เคยพูดถึงช่องโหว่ RCE ใน WordPress 4.6 มาคราวนี้ก็ยังเจอในส่วนเดิมคือการจัดการ SERVER_NAME ที่ไม่ดีพอของ WordPress แต่คราวนี้เป็น WordPress ตัวใหม่สุดคือ 4.7.4 และช่องโหว่ดังกล่าวยังไม่มี patch ออกมาแก้ไขอีกด้วย ผู้ที่ค้นพบช่องโหว่นี้คือ Dawid Golunski ได้รับ CVE เป็น CVE-2017-8295 โดย Dawid พบว่าการ reset password…
Recent Comments