Wordpress

ช่องโหว่ร้ายแรงใน WPML ภัยคุกคามต่อเว็บไซต์ WordPress หลายภาษา

ช่องโหว่ร้ายแรงใน WPML ภัยคุกคามต่อเว็บไซต์ WordPress หลายภาษา

เว็บไซต์ Cyber Security News รายงานการค้นพบช่องโหว่ร้ายแรงใน WordPress Multilingual (WPML) ปลั๊กอินยอดนิยมสำหรับการสร้างเว็บไซต์ WordPress หลายภาษา โดยนักวิจัยด้านความปลอดภัยไซเบอร์ “Stealth Copter”

protected function render( $args, $twig_template = null ) { $defaults_slot_args = $this->get_default_slot_args( $args ); $slot_args = array_merge( $defaults_slot_args, $args ); $slot = $this->get_slot_factory()->get_slot( $slot_args ); $slot->set( ‘show’, 1 ); $slot->set( ‘template_string’, $twig_template ); if ( $slot->is_post_translations() ) { $output = $this->render->post_translations_label( $slot ); } else { $output = $this->render->render( $slot ); } return $output; }[wpml_language_switcher] {% set call_user_func = c~a~l~l~_~u~s~e~r~_~f~u~n~c %} {% set phpinfo = p~h~p~i~n~f~o %} {{ {1: phpinfo}|filter(call_user_func) }} [/wpml_language_switcher]

ประเด็นสำคัญ:

  1. ช่องโหว่มีชื่อ CVE-2024-6386 ได้รับคะแนนความรุนแรง 9.9/10
  2. ส่งผลกระทบต่อ WPML เวอร์ชัน 4.6.12 และก่อนหน้า
  3. เปิดช่องให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้ (Remote Code Execution หรือ RCE)
  4. เกิดจากข้อผิดพลาดในการตรวจสอบข้อมูลนำเข้าใน “render() function” ของ WPML_LS_Public_API
  5. ทีม Wordfence ทดสอบและยืนยันว่าช่องโหว่นี้ใช้งานได้ง่าย

ข่าวดี: ทีมพัฒนา WPML ได้แก้ไขช่องโหว่นี้ในเวอร์ชัน 4.6.13 เมื่อวันที่ 20 สิงหาคม

คำแนะนำสำหรับผู้ดูแลเว็บไซต์:

  1. อัปเดต WPML เป็นเวอร์ชันล่าสุดทันที
  2. ตรวจสอบเว็บไซต์เพื่อหาโค้ดแปลกปลอมที่อาจถูกแทรก
  3. ลบโค้ดที่น่าสงสัยทั้งหมดเพื่อป้องกันภัยคุกคาม

เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการอัปเดตปลั๊กอินและการตรวจสอบความปลอดภัยอย่างสม่ำเสมอสำหรับเว็บไซต์ WordPress โดยเฉพาะอย่างยิ่งสำหรับเว็บไซต์เชิงธุรกิจที่ต้องรองรับหลายภาษา

pronchai thawornnan

pronchai thawornnan

About Author

หนุ่มเพชรบุรี ที่มาทำงานในเมืองกรุง เรียนและอาศัยอยู่ในเมืองกรุง 10 กว่าปี ชอบ UX UI Wordpress ปัจจุบันกำลังหัดนอนก่อนเที่ยงคืน

Leave a comment

Your email address will not be published. Required fields are marked *

You may also like

News Wordpress

10 เทคนิคทำ SEO WordPress ปี 2024 ให้ติดอันดับ Google

คุณกำลังมองหาวิธีทำให้เว็บไซต์ WordPress ของคุณติดอันดับบน Google หรือไม่? บทความนี้จะแนะนำ 10 เทคนิคทำ SEO WordPress ที่มีประสิทธิภาพในปี 2024 ช่วยให้เว็บไซต์ของคุณเพิ่มโอกาสในการติดอันดับได้ดียิ่งขึ้น ทำไม WordPress ถึงเหมาะสำหรับการทำ SEO? WordPress เป็นระบบจัดการเนื้อหา (CMS)
Cybersecurity Wordpress

การป้องกัน WordPress จาก DDoS Attack

WordPress เป็นระบบจัดการเนื้อหา (CMS) ที่ได้รับความนิยมอย่างมาก แต่ด้วยความนิยมนี้เองทำให้มันกลายเป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยเฉพาะ DDoS Attack ต่อไปนี้เป็นวิธีการป้องกัน WordPress ของคุณจาก DDoS Attack: 1. ใช้บริการ CDN (Content Delivery Network) CDN