พบช่องโหว่ XSS ใน WordPress Advanced Custom Fields และ Advanced Custom Fields Pro  เสี่ยงถูกควบคุม

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

นักวิจัยด้านความปลอดภัยเตือน พบช่องโหว่ XSS (cross-site scripting ) ที่ทำให้ปลั๊กอิน WordPress Advanced Custom Fields และ Advanced Custom Fields Pro มีความเสี่ยงถูกแฮกเกอร์เข้าควบคุมเว็บไซต์ WordPress

สำหรับ Advanced Custom Fields และ Advanced Custom Fields Pro ปลั๊กอินสำหรับสร้าง Field เก็บข้อมูลต่างๆ ที่สามารถนำไปแสดงผลหน้าเว็บ, ประมวลผล, คิดคำนวน ซึ่งรูปแบบเป็น Field มาตรฐานของ HTML5 ทั่วไป สามารถเลือกใช้ตามความเหมาะสมของประเภทการใช้งาน โดยมีการติิดตั้งปลั๊กอินนี้มากกว่า 2 ล้านครั้งทั่วโลก 

แต่เมื่อวันที่ 2 พ.ค 2566 ที่ผ่านมา Rafie Muhammad นักวิจัยของ Patchstack ค้นพบช่องโหว่ XSS (CVE-2023-30777) ทำให้ผู้โจมตีสามารถขโมยข้อมูลละเอียดอ่อนและเพิ่มสิทธิ์ในเว็บไซต์ WordPress 

โดยล่าสุดผู้พัฒนาฯ ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว ขอให้ผู้ใช้งาน WordPress  Advanced Custom Fields’ และ ‘Advanced Custom Fields Pro อัปเดตเวอร์ชัน 6.1.6 หรือเวอร์ชันล่าสุดโดยด่วน

ที่มา : bleepingcomputer

บทความที่เกี่ยวข้อง