พบช่องโหว่ WordPress ซึ่งทำให้ร้านค้า WooCommerce เสี่ยง !

พบช่องโหว่ WordPress

พบช่องโหว่ WordPress ซึ่งทำให้ร้านค้า WooCommerce เสี่ยง !

มีการค้น พบช่องโหว่ WordPress ซึ่งทำให้ร้านค้า WooCommerce เสี่ยง WooCommerce เป็นโซลูชันอีคอมเมิร์ซที่ได้รับความนิยมมากที่สุดแห่งหนึ่งซึ่งได้รับมอบหมายจากผู้ใช้ที่ถูกบุกรุกเนื่องจากช่องโหว่ของ WordPress ช่องโหว่ดังกล่าวได้ใช้ประโยชน์จากผู้บุกรุกไปครองเว็บไซต์ WooCommerce

Simon Scannel นักวิจัยด้านความปลอดภัยจาก RIPS กล่าวในบล็อกโพสต์ว่าข้อบกพร่องโดยเฉพาะมีผลต่อ WooCommerce

ช่องโหว่นี้ช่วยให้ผู้จัดการร้านสามารถลบไฟล์บางไฟล์บนเซิร์ฟเวอร์จากนั้นจะเข้าควบคุมบัญชีผู้ดูแลระบบได้

ข้อผิดพลาดในการลบไฟล์ซึ่งในตอนแรกไม่ถูกมองว่าเป็นอันตรายผู้โจมตีที่ได้รับอนุญาตให้ลบไฟล์ index.php ทำให้เกิดการปฏิเสธบริการ อย่างไรก็ตามเมื่อรวมกับ WordPress ความรุนแรงจะเพิ่มขึ้น

ช่องโหว่นี้ช่วยให้ผู้จัดการร้านสามารถใช้สิทธิพิเศษของตนในทางที่ผิดและเรียกใช้โค้ดจากระยะไกลบนเว็บไซต์ที่ได้รับผลกระทบได้ ปลั๊กอิน WooCommerce กำหนดบทบาทที่มีลูกค้าผู้ดูแลร้านค้าและผู้ดูแลระบบ ผู้จัดการร้านสามารถจัดการการตั้งค่าทั้งหมดของร้านค้า WooCommerce รวมถึงการสร้างและแก้ไขผลิตภัณฑ์

ข้อผิดพลาดนี้จะช่วยให้ผู้จัดการร้านค้าสามารถเปิดล็อกอินที่มีความกระตือรือร้นใน WordPress ได้ โดยการสั่งให้โหลดข้อมูลผู้จัดการร้านสามารถลบปลั๊กอิน WooCommerce ซึ่งปิดการใช้งานข้อ จำกัด ในการรันไทม์ได้ วิธีนี้จะช่วยให้ผู้จัดการร้านสามารถเข้าควบคุมบัญชีผู้ดูแลระบบของร้านค้านั้นได้

“ช่องโหว่การลบไฟล์โดยพลการไม่ถือว่าสำคัญในกรณีส่วนใหญ่เป็นสิ่งเดียวที่ผู้โจมตีสามารถทำให้เกิดการปฏิเสธบริการโดยการลบ index.php ของเว็บไซต์” Scannell เขียน “[เรา] รายละเอียดว่าการลบไฟล์ปลั๊กอินบางตัวใน WordPress สามารถปิดการตรวจสอบด้านความปลอดภัยแล้วนำไปสู่การครอบครองไซต์แบบเต็มรูปแบบ”

Scannel ยังระบุด้วยว่าทุกคนที่มีบทบาทผู้จัดการร้านสามารถดำเนินการดังกล่าวได้ อย่างไรก็ตามการใช้ประโยชน์มีข้อเสียเปรียบ ถ้าร้านค้าไม่ตัดสินใจที่จะผ่านการโจมตีข้อมูลทั้งหมดในที่เก็บเป้าหมายจะหายไป

ผู้บุกรุกสามารถเข้าถึงบทบาทผู้จัดการร้านผ่านช่องโหว่ XSS เพื่อใช้ประโยชน์จากข้อบกพร่องที่ค้นพบซึ่งจะทำให้สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ ผู้บุกรุกสามารถดำเนินการนี้ผ่านแคมเปญฟิชชิ่งซึ่งจะทำให้สามารถโจมตีได้

WordPress ได้เห็นช่องโหว่ดังกล่าวจำนวนมากและมักถูกมองว่าเป็น CMS ที่มีเป้าหมายมากที่สุดในโลก เนื่องจากความนิยมและจำนวนเว็บไซต์ที่สร้างขึ้นบน WordPress เป็นจำนวนมาก ทำให้ WordPress เป็นเป้าหมายใหญ่สำหรับผู้โจมตีทุกที่

ที่มาของเนื้อหา : www.easy4seo.com