កំហុសសុវត្ថិភាពធ្វើឱ្យគេហទំព័រ WordPress 200,000 មានហានិភ័យ

យោងតាម សារព័ត៌មាន The Hacker News ភាពងាយរងគ្រោះដែលត្រូវបានតាមដានជា CVE-2023-3460 (ពិន្ទុ CVSS 9.8) មាននៅក្នុងកំណែទាំងអស់នៃកម្មវិធីជំនួយ Ultimate Member រួមទាំងកំណែចុងក្រោយបំផុត (2.6.6) ដែលបានចេញផ្សាយនៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2023។

Ultimate Member គឺជាកម្មវិធីជំនួយដ៏ពេញនិយមសម្រាប់បង្កើតទម្រង់អ្នកប្រើប្រាស់ និងសហគមន៍នៅលើគេហទំព័រ WordPress ។ វាក៏ផ្តល់នូវមុខងារគ្រប់គ្រងគណនីផងដែរ។

WPScan - ក្រុមហ៊ុនសន្តិសុខ WordPress បាននិយាយថា កំហុសសុវត្ថិភាពនេះគឺធ្ងន់ធ្ងរណាស់ដែលអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចពួកគេដើម្បីបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីជាមួយនឹងសិទ្ធិគ្រប់គ្រង ដោយផ្តល់ឱ្យពួក Hacker នូវការគ្រប់គ្រងពេញលេញលើគេហទំព័រដែលរងផលប៉ះពាល់។

ព័ត៌មានលម្អិតអំពីភាពងាយរងគ្រោះត្រូវបានរក្សាទុក ដោយសារមានការព្រួយបារម្ភអំពីការរំលោភបំពាន។ អ្នកជំនាញផ្នែកសុវត្ថិភាពមកពី Wordfence ពិពណ៌នាថា ទោះបីជាកម្មវិធីជំនួយមានបញ្ជីនៃសោហាមឃាត់ដែលអ្នកប្រើប្រាស់មិនអាចធ្វើបច្ចុប្បន្នភាពបានក៏ដោយ មានវិធីសាមញ្ញក្នុងការរំលងតម្រងដូចជាការប្រើសញ្ញា ឬការអ៊ិនកូដតួអក្សរនៅក្នុងតម្លៃដែលបានផ្តល់នៅក្នុងកំណែរបស់កម្មវិធីជំនួយ។

កំហុសសុវត្ថិភាពត្រូវបានលាតត្រដាងបន្ទាប់ពីមានរបាយការណ៍អំពីគណនីអ្នកគ្រប់គ្រងក្លែងក្លាយត្រូវបានបញ្ចូលទៅក្នុងគេហទំព័រដែលរងផលប៉ះពាល់។ វា​បាន​ជំរុញ​ឱ្យ​អ្នក​បង្កើត​កម្មវិធី​ជំនួយ​បញ្ចេញ​ការ​ជួសជុល​មួយ​ផ្នែក​ក្នុង​កំណែ 2.6.4, 2.6.5, និង 2.6.6។ ការអាប់ដេតថ្មីត្រូវបានរំពឹងទុកនៅក្នុងប៉ុន្មានថ្ងៃខាងមុខនេះ។

Ultimate Member បាននិយាយនៅក្នុងការចេញផ្សាយថ្មីថា ភាពងាយរងគ្រោះនៃការកើនឡើងសិទ្ធិត្រូវបានប្រើប្រាស់តាមរយៈ UM Forms ដែលអនុញ្ញាតឱ្យបុគ្គលដែលគ្មានការអនុញ្ញាតបង្កើតអ្នកប្រើប្រាស់ WordPress កម្រិតអ្នកគ្រប់គ្រង។ ទោះយ៉ាងណាក៏ដោយ WPScan បានចង្អុលបង្ហាញថាបំណះមិនពេញលេញ ហើយបានរកឃើញវិធីជាច្រើនដើម្បីគេចចេញពីវា មានន័យថា កំហុសនៅតែអាចត្រូវបានគេកេងប្រវ័ញ្ច។

ភាពងាយរងគ្រោះនេះកំពុងត្រូវបានប្រើដើម្បីចុះឈ្មោះគណនីថ្មីក្រោមឈ្មោះ apads, se_brutal, segs_brutal, wpadmins, wpengine_backup និង wpenginer ដើម្បីបង្ហោះកម្មវិធីជំនួយ និងស្បែកដែលមានគំនិតអាក្រក់តាមរយៈផ្ទាំងគ្រប់គ្រងគេហទំព័រ។ Ultimate Members ត្រូវបានណែនាំឱ្យបិទកម្មវិធីជំនួយ រហូតដល់មានការបំណះពេញលេញសម្រាប់ភាពងាយរងគ្រោះនេះ។