ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

ช่องโหว่ MP3 Audio Player กระทบ 20,000 เว็บไซต์

news-Vulnerability-MP3-Audio-Player-WordPress-Plugin-Affects-Over-20000-Sites-web

พบการโจมตีผ่านช่องโหว่ปลั๊กอิน MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar ซึ่งเป็นปลั๊กอินสำหรับ WordPress โดยช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถลบข้อมูลสำคัญหรือไฟล์สำคัญอย่าง wp-config[.]php ในเซิร์ฟเวอร์ของเว็บไซต์ได้โดยไม่จำกัด

ซึ่งนอกจากจะลบไฟล์แล้วยังช่วยให้แฮกเกอร์สามารถทำการโจมตีจากระยะไกลโดยใช้สิทธิ์ที่ต่ำที่สุด อย่างระดับสมาชิก ได้อีกด้วย

ช่องโหว่นี้ถูกพบโดย Arkadiusz Hydzik และได้รับเงินรางวัลจากการพบช่องโหว่นี้ไป 705 US หรือคิดเป็นเงินไทยประมาณ  24,000 บาท

ปลั๊กอิน MP3 Audio Player ใช้เพื่ออัปโหลดและเป็นเครื่องเล่นเพลงบนเว็บ WordPress คุณลักษณะหนึ่งของปลั๊กอินนี้คือความสามารถในการอัปโหลดไฟล์เสียงแบบพีค (audio peak files) ซึ่งเป็นไฟล์ขนาดเล็ก (ระหว่าง 10kB ถึง 20kB) แต่ปัญหาอยู่ที่ฟังก์ชันที่ใช้ในการลบไฟล์ชั่วคราวของปลั๊กอินถูกออกแบบมาไม่ดี ทำให้เกิดช่องโหว่ ส่งผลให้ผู้ไม่หวังดีสามารถลบไฟล์อื่นๆ ในระบบได้

รายละเอียดของช่องโหว่มีดังนี้

  • หมายเลขช่องโหว่ – CVE-2024-7856
  • ระดับความรุนแรง – 9.1 (ระดับสูง)
  • เวอร์ชันที่ได้รับผลกระทบ – ตั้งแต่เวอร์ชัน 5.7.0.1 ลงไป

ช่องโหว่นี้จัดอยู่ในประเภทการลบไฟล์โดยพลการ (Arbitrary File Deletion) ซึ่งหมายความว่าผู้โจมตีสามารถลบไฟล์ใดก็ได้ในระบบเซิร์ฟเวอร์โดยไม่ต้องได้รับสิทธิ์การเข้าถึง ซึ่งหากแฮกเกอร์ทำการโจมตีสำเร็จ อาจทำให้เว็บไซต์หยุดทำงาน หรือข้อมูลสำคัญสูญหายได้

ดังนั้นเพื่อเป็นการป้องกันการโจมตีแนะนำให้เจ้าของแว็บทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดคือ 5.7.1

ที่มา – Wordfence

ดูบริการของทางเราได้ที่ WordPress
สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com