WordPress ออก version 4.9.4 แก้ไขปัญหา auto update ไม่ได้

WordPress เป็น CMS ชื่อดังที่ถูกนำไปใช้ website มากมายทั่วโลก โดย WordPress นั้นโดยปกติมี feature สำหรับการ automated update ตัว WordPress เอง โดย feature ดังกล่าวมีมาตั้งแต่ WordPress 3.7 หรือก็คือเมื่อ 4 ปีก่อน แต่ล่าสุดกลับพบว่า feature ดังกล่าวกลับใช้งานไม่ได้ซะแล้ว เมื่อผ่านไปวันเดียวหลังจากการปล่อย WordPress 4.9.3…
View Post

พบช่องโหว่ DoS ใน WordPress เว็บไซด์

นักวิจัยทางด้าน security ชื่อ Barak Tawily พบช่องโหว่ DoS ใน WordPress ซึ่งเป็น CMS ชื่อดัง ทำให้เมื่อโจมตีตัวเว็บจะหยุดการทำงาน ทาง Barak พบช่องโหว่ DoS ที่ได้ CVE-2018-6389 ทำให้เว็บไซด์ที่ถูกสร้างด้วย CMS ชื่อดังอย่าง WordPress ไม่สามารถให้บริการต่อได้ โดยช่องโหว่ดังกล่าวเกิดที่ load-scripts.php ตัว script ดังกล่าวมี parameter…
View Post

WordPress ออก version 4.9.2 อุดช่องโหว่และเพิ่ม maintenance feature

WordPress ซึ่งเป็น CMS (Content Management System) สำหรับการทำเว็บไซด์ต่างๆ ซึ่งเป็นที่นิยมมาก ได้ออก version ใหม่ version 4.9.2 เพื่อเพิ่มและปรับปรุง Securtiy และ Maintenance โดยมีการปรับดังนี้ อุดช่องโหว่ XSS ใน  Flash fallback files ใน lib MediaElement แก้ไข bug ไป 21…
View Post

Wordfence พบการฝัง Backdoor ใน Captcha plugin ของ WordPress!! เจอเว็บไซด์กว่า 300k ได้รับผลกระทบ

Wordfence ซึ่งเป็น plugin ทางด้าน security ของ WordPress ได้พบว่ามีการฝัง backdoor ไว้ใน captcha plugin ของ WordPress ทำให้ใครที่รู้ก็สามารถสั่งงานและฝัง script ได้เพิ่มเติมมากมาย Wordfence ได้มีการคอยสอดส่อง WordPress Repository หรือแหล่ง download plugin ของ WordPress อยู่เสมอ เพื่อรอดูว่าหาก plugin ที่ถูกถอดออกไปนั้นมีปัญหาอะไรทางด้าน…
View Post

พบ Keylogger ในเว็บไซด์ที่เป็น WordPress ถึง 5,500 เว็บไซด์

ทาง Sucuri พบการฝัง script เพื่อทำ KeyLogger ใน WordPress เยอะมากถึง 5,500 เว็บไซด์ และบางเว็บไซด์มีแถมการฝัง  cryptocurrency miner อีกด้วย Script เหล่านั้น มีต้นทางมาจาก”cloudflare.solutions” domain, ซึ่งไม่ได้มีความเกี่ยวข้องใดๆกับ Cloudflare เลย, และทำการ log ทุกการพิมพ์ของ user ซึ่งตัว script มีการโหลดทั้งใน frontend…
View Post

WordPress ออก version 4.9.1 เพิ่มและปรับปรุง security และการ Maintenance

WordPress ซึ่งเป็น CMS (Content Management System) สำหรับการทำเว็บไซด์ต่างๆ ซึ่งเป็นที่นิยมมาก ได้ออก version ใหม่ version 4.9.1 เพื่อเพิ่มและปรับปรุง Securtiy และ Maintenance โดยปรับดังนี้ ใช้วิธีการสร้าง hash เพื่อ newbloguser key แทนที่จะเป็นการทำ substring เพิ่มการทำ escape ค่า language attributes ที่ใช้ใน html…
View Post

WordPress ปล่อย update version 4.8.3 อุดช่องโหว่ SQL Injection

WordPress เป็น CMS ที่มีการใช้งานกันอย่างแพร่หลาย ล่าสุดได้ปล่อย update version ใหม่ออกมาเพื่ออุดช่องโหว่ SQL Injection WordPress พบว่า function $wpdb->prepare() มีช่องโหว่ ทำให้อาจเกิด query ที่ไม่ปลอดภัยได้ โดย WordPress core ไม่ได้รับผลกระทบโดยตรงจาก function ดังกล่าว แต่ทาง WordPress พยายามจะเพิ่มการป้องกันภัยเข้าไปในส่วน plugin ต่างๆที่ใช้ function…
View Post

พบการโจมตี 3 plugin ของ WordPress ทำให้ Hacker ยึดเว็บไซด์ได้มากมาย

WordPress ยังคงเป็น CMS (Content Management System) ยอดนิยมสำหรับการนำไปสร้าง website มากมาย รวมถึงตกเป็นเป้าการโจมตีของ hacker มากมายด้วยเช่นกัน โดยปกติแล้ว WordPress นั้นไม่ได้รั่วที่ Core ของ WordPress แต่ตัวที่รั่วและทำให้ Hacker เข้าไปมากกว่าคือ plugin ของ WordPress มากกว่า ล่าสุดพบว่ามีการโจมตีไปยัง 3 plugin ที่มีช่องโหว่ทำให้ Hacker…
View Post

พบช่องโหว่ร้ายแรงใน WordPress Plugin ที่มีเว็บไซด์ใช้ถึง 300,000 กว่าเว็บ

Sucuri พบช่องโหว่ SQL Injection และมี Security Researcher พบ XSS ใน plugin เก็บรายละเอียดการใช้งานของผู้ใช้ที่ชื่อว่า WP Statistics ซึ่งเป็น plugin ที่ได้รับความนิยมอย่างมากโดยพบว่ามีการใช้งานอยู่ในเว็บไซด์ถึง 300,000 กว่าเว็บไซด์ Sucuri พบว่าในส่วนหลังจาก login เรียบร้อย user admin สามารถที่จะดึงข้อมูลของผู้เข้าเว็บไซด์ได้ผ่าน code ตามด้านล่าง จากภาพจะเห็นว่า wpstatistics…
View Post

ช่องโหว่ Unauthorized Password Reset ใน WordPress <= 4.7.4

ยังคงวนเวียนกับช่องโหว่ของ WordPress โดยก่อนหน้านี้ได้เคยพูดถึงช่องโหว่ RCE ใน WordPress 4.6 มาคราวนี้ก็ยังเจอในส่วนเดิมคือการจัดการ SERVER_NAME ที่ไม่ดีพอของ WordPress แต่คราวนี้เป็น WordPress ตัวใหม่สุดคือ 4.7.4 และช่องโหว่ดังกล่าวยังไม่มี patch ออกมาแก้ไขอีกด้วย ผู้ที่ค้นพบช่องโหว่นี้คือ Dawid Golunski ได้รับ CVE เป็น CVE-2017-8295 โดย Dawid พบว่าการ reset password…
View Post