fbpx

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

โฆษณา



WordPress ประกาศจุดอ่อนระดับภัยคุกคามสูงที่ได้รับการแนะนำโดยทีมพัฒนาหลักเอง

WordPress ประกาศว่าได้แก้ไขช่องโหว่สี่จุดที่มีคะแนนสูงถึง 8 ในระดับ 1 ถึง 10 ช่องโหว่นั้นอยู่ในแกนหลักของ WordPress และเกิดจากข้อบกพร่องที่ทีมพัฒนา WordPress นำเสนอ

สี่ช่องโหว่ของ WordPress

การประกาศของ WordPress มีรายละเอียดสั้น ๆ ว่าช่องโหว่มีความรุนแรงเพียงใดและมีรายละเอียดเพียงเล็กน้อย

อย่างไรก็ตาม ฐานข้อมูลช่องโหว่แห่งชาติของรัฐบาลสหรัฐอเมริกา ซึ่งมีการบันทึกและเผยแพร่ช่องโหว่ดังกล่าว โดยให้คะแนนช่องโหว่ดังกล่าวสูงถึง 8.0 ในระดับ 1 ถึง 10 โดย 10 รายการแสดงถึงระดับอันตรายสูงสุด

ช่องโหว่สี่ประการคือ :

  1. SQL Injection เนื่องจากขาดการล้างข้อมูลใน WP_Meta_Query (ระดับความรุนแรงสูง 7.4)
  2. Authenticated Object Injection ใน Multisites (ระดับความรุนแรงระดับปานกลาง 6.6)
  3. Stored Cross Site Scripting (XSS) ผ่านผู้ใช้ที่ตรวจสอบแล้ว (ระดับความรุนแรงสูง 8.0)
  4. SQL Injection ผ่าน WP_Query เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสม (ระดับความรุนแรงสูง 8.0)

นักวิจัยด้านความปลอดภัยภายนอก WordPress ค้นพบช่องโหว่สามในสี่ช่องโหว่ WordPress ไม่มีความคิดจนกระทั่งพวกเขาได้รับแจ้ง

ช่องโหว่ดังกล่าวถูกเปิดเผยโดยส่วนตัวใน WordPress ซึ่งทำให้ WordPress สามารถแก้ไขปัญหาได้ก่อนที่จะเป็นที่รู้จักในวงกว้าง

การพัฒนา WordPress พุ่งไปในทางที่เป็นอันตราย?

WordPress พัฒนาชะลอตัวลงใน 2021 เพราะพวกเขาไม่สามารถที่จะเสร็จสิ้นการทำงานในรุ่นล่าสุด 5.9 ซึ่งเห็นว่ารุ่นของWordPress ผลักกลับไปในภายหลัง 2022

มีการพูดคุยกันใน WordPress เกี่ยวกับการชะลอความเร็วของการพัฒนาเนื่องจากความกังวลต่อความสามารถในการติดตาม

นักพัฒนาหลักของ WordPress เองได้ส่งสัญญาณเตือนในช่วงปลายปี 2021 เกี่ยวกับความเร็วของการพัฒนา โดยร้องขอให้มีเวลามากขึ้น

หนึ่งในนักพัฒนาเตือน :

“โดยรวมแล้ว ดูเหมือนว่าตอนนี้เรากำลังเร่งรีบในทางที่อันตราย”

เมื่อพิจารณาว่า WordPress ไม่สามารถรักษากำหนดการเผยแพร่ของตนเองได้และกำลังหารือเกี่ยวกับการปรับปฏิทินการเปิดตัวในปี 2022 จากสี่รุ่นเป็นสามรุ่น เราต้องตั้งคำถามเกี่ยวกับความเร็วของการพัฒนา WordPress และควรพยายามมากขึ้นหรือไม่เพื่อให้มั่นใจว่าช่องโหว่ต่างๆ จะไม่ถูกเปิดเผยโดยไม่ได้ตั้งใจ ประชาชน.

ปัญหาการล้างข้อมูลใน WordPress

การล้างข้อมูลเป็นวิธีควบคุมประเภทของข้อมูลที่ได้รับผ่านอินพุตและลงในฐานข้อมูล ฐานข้อมูลคือสิ่งที่เก็บข้อมูลเกี่ยวกับเว็บไซต์ รวมถึงรหัสผ่าน ชื่อผู้ใช้ ข้อมูลผู้ใช้ เนื้อหา และข้อมูลอื่นๆ ที่จำเป็นสำหรับเว็บไซต์ในการทำงาน

เอกสาร WordPressอธิบายการล้างข้อมูล:

“เป็นกระบวนการในการทำความสะอาดหรือกรองข้อมูลที่คุณป้อน ไม่ว่าข้อมูลจะมาจากผู้ใช้หรือ API หรือบริการเว็บ คุณใช้การฆ่าเชื้อเมื่อคุณไม่รู้ว่าจะเกิดอะไรขึ้นหรือคุณไม่ต้องการเข้มงวดกับการตรวจสอบข้อมูล”

เอกสารระบุว่า WordPress ให้ในตัวฟังก์ชั่นผู้ช่วยในการป้องกันปัจจัยการผลิตที่เป็นอันตรายและว่าการใช้ฟังก์ชั่นผู้ช่วยเหล่านี้ต้องใช้ความพยายามน้อยที่สุด

WordPress คาดการณ์ช่องโหว่การป้อนข้อมูลสิบหกประเภทและนำเสนอวิธีแก้ไขเพื่อบล็อกช่องโหว่เหล่านี้

ดังนั้นจึงเป็นเรื่องน่าแปลกใจที่ปัญหาการป้อนข้อมูลสะอาดควรยังคงปรากฏอยู่ในแกนหลักของ WordPress เอง

มีช่องโหว่ระดับสูงสองประการที่เกี่ยวข้องกับการกำจัดสคริปท์ที่ไม่เหมาะสม:

  • WordPress: SQL Injection เนื่องจากการฆ่าเชื้อที่ไม่เหมาะสมใน WP_Meta_Query 
    เนื่องจากขาดการกำจัดสคริปท์ที่เหมาะสมใน WP_Meta_Query จึงมีโอกาสในการ SQL Injection ที่ตาบอด
  • WordPress: SQL Injection ผ่าน WP_Query 
    เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสมใน WP_Query อาจมีกรณีที่ SQL Injection สามารถทำได้ผ่านปลั๊กอินหรือธีมที่ใช้ในลักษณะบางอย่าง

ช่องโหว่อื่นๆ ได้แก่:

  • WordPress: Authenticated Object Injection in Multisites 
    บนหลายเว็บไซต์ ผู้ใช้ที่มีบทบาทผู้ดูแลระบบระดับสูงสามารถเลี่ยงการเสริมความแข็งแกร่งอย่างชัดแจ้ง/เพิ่มเติมได้ภายใต้เงื่อนไขบางประการผ่านการ Injectionวั ตถุ
  • WordPress : XSS ที่จัดเก็บผ่านผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ ผู้ใช้ที่
    มีสิทธิ์ได้รับสิทธิ์ต่ำ (เช่นผู้เขียน) ในแกนหลักของ WordPress สามารถเรียกใช้ JavaScript/ดำเนินการโจมตี XSS ที่จัดเก็บไว้ ซึ่งอาจส่งผลต่อผู้ใช้ที่มีสิทธิพิเศษสูง

WordPress แนะนำให้อัปเดตทันที

เนื่องจากช่องโหว่ต่างๆ ถูกเปิดเผย จึงเป็นเรื่องสำคัญที่ผู้ใช้ WordPress ต้องแน่ใจว่าการติดตั้ง WordPress ของตนได้รับการอัปเดตเป็นเวอร์ชันล่าสุด ซึ่งปัจจุบันคือ 5.8.3

แหล่งอ้างอิง

Read the Official WordPress Notice

WordPress 5.8.3 Security Release

National Vulnerability Database Reports

Authenticated Object Injection in Multisites

Stored XSS through authenticated users

Improper sanitization in WP_Query

SQL injection due to improper sanitization in WP_Meta_Query

https://www.searchenginejournal.com/wordpress-core-vulnerabilities/432042/

โฆษณา
EV Charger , ขนของย้ายบ้าน , อุปกรณ์กีฬา , Microsoft 365



** ขอสงวนสิทธิ์ในการตอบคำถามทางแชทไว้เฉพาะลูกค้าที่สนสนใจใช้บริการออกแบบ-พัฒนาเว็บไซต์ และบริการอื่นๆ จากเว็บไซต์ zixzax studio เท่านั้น



google-workspace อีเมลบริษัท ราคาถูก

ซื้อ Google Workspace อีเมลบริษัท



ads aoostudio พื้นลงโฆษณา
Zixzax Studio on Google News

Zixzax On Google News

คุณสามารถติดตามข่าวสาร และบทความจาก ZIXZAX STUDIO ได้แล้วที่ Google News

ads aoostudio พื้นลงโฆษณา


บทความที่เกี่ยวข้อง ในหมวดหมู่ 



10 ปลั๊กอินเพิ่มประสิทธิภาพรูปภาพ WordPress เพื่อเพจที่เร็วขึ้น

10 ปลั๊กอินเพิ่มประสิทธิภาพรูปภาพ WordPress เพื่อเพจที่เร็วขึ้น

10 ปลั๊กอินเพิ่มประสิทธิภาพรูปภาพ WordPress เพื่อเพจที่เร็วขึ้น ค้นหาวิธีปรับปรุงความเร็วและประสิทธิภาพของเว็บไซต์ WordPress ด้วยปลั๊กอินการเพิ่มประสิทธิ

อ่านเพิ่มเติม
วิธีสร้าง User WordPress บนเว็บไซต์

วิธีสร้าง User WordPress บนเว็บไซต์

วิธีสร้าง User Wordpress บนเว็บไซต์ ซึ่งก็จะอธิบายวิธีสร้าง Acount เพื่อใช้ในการ Login เข้าสู่ระบบ CMS เพื่อจัดการเว็บไซต์

อ่านเพิ่มเติม
ทำไมทุกธุรกิจถึงต้องการเว็บไซต์ ?

ทำไมทุกธุรกิจถึงต้องการเว็บไซต์ ?

การปรากฏตัวทางออนไลน์ของธุรกิจโดยไม่คำนึงถึงอุตสาหกรรมสามารถส่งผลกระทบอย่างมากต่อความสำเร็จ ในยุคนี้ธุรกิจ

อ่านเพิ่มเติม
วิธีติดตั้ง Google Site Kit บนเว็บไซต์ WordPress

วิธีติดตั้ง Google Site Kit บนเว็บไซต์ WordPress

วิธีติดตั้ง Google Site Kit บนเว็บไซต์ Wordpress ในวันนี้ธีงานทำเว็บไซต์ จะมาเสนอวิธีการติดตั้ง Google Site Kit ซึ่งมีวิธีการดังต่อไปนี้

อ่านเพิ่มเติม

บทความล่าสุด …

คำตอบของ Google หากการสูญเสียอันดับของ Core Update

คำตอบของ Google หากการสูญเสียอันดับของ Core Update

Google ตอบคำถามเกี่ยวกับสาเหตุของการตกอันดับหลังจากอัปเดตอัลกอริทึมหลัก ผู้ถามคำถามอ้างอิงถึงโทษเบา ๆ ซึ่งเป็นวลีที่มีมาหลายปีแล้ว แต่จริงๆ แล้วไม่เป็นเช่นนั้น

CMS มีความสำคัญต่อการจัดอันดับการค้นหาหรือไม่ ?

CMS มีความสำคัญต่อการจัดอันดับการค้นหาหรือไม่ ?

CMS มีความสำคัญต่อการจัดอันดับการค้นหาหรือไม่ ซึ่งวันนี้ทางทีมงาน ZIXZAX STUDIO จะพาไปหาคำตอบกันนะ John Mueller...

Google ยืนยันปัญหาอย่างต่อเนื่องกับดัชนีการค้นหา

Google ยืนยันปัญหาอย่างต่อเนื่องกับดัชนีการค้นหา

เมื่อวันที่ 15 กรกฎาคม Google ยืนยันว่ามีปัญหากับดัชนีการค้นหาที่ส่งผลกระทบต่อเว็บไซต์จำนวนมาก ไม่ทราบสาเหตุที่แท้จริง Google กล่าวว่าได้ระบุปัญหาการจัดทำ

การตลาดบนโซเชียลมีเดียช่วยให้ฟุตบอลครองโลกได้อย่างไร

การตลาดบนโซเชียลมีเดียช่วยให้ฟุตบอลครองโลกได้อย่างไร

การตลาดบนโซเชียลมีเดียช่วยให้ฟุตบอลครองโลกได้อย่างไร การแชร์รูปภาพ วิดีโอ และเนื้อหารูปแบบอื่น ๆ บนโซเชียลอย่างแข็งขัน ซึ่งเป็นแพลตฟอร์มใหม่สำหรับการมี

Microsoft เตรียมการนำเข้าข้อมูล Chrome

Microsoft เตรียมการนำเข้าข้อมูล Chrome

Microsoft เตรียมการนำเข้าข้อมูล Chrome ของคุณทุกครั้งที่คุณเปิด Edge เว็บเบราว์เซอร์ที่ทันสมัยทุกเครื่องมีเครื่องมือในตัวสำหรับการนำเข้าข้อมูลที่ช่วยลดความยุ่งยาก

Google เผยแพร่เกมพินบอลในสัปดาห์นี้

Google เผยแพร่เกมพินบอลในสัปดาห์นี้

Google เผยแพร่เกมพินบอลในสัปดาห์นี้ ไม่ใช่เกม แต่เป็นเทคโนโลยีพื้นฐานที่มีความสำคัญและมีศักยภาพสำหรับการพัฒนาแอพตลอดจนแพลตฟอร์มบนเว็บไซต์

ผู้ใช้สามารถใช้ G Suite รุ่นเดิมที่ใช้งานฟรีต่อไปได้

ผู้ใช้สามารถใช้ G Suite รุ่นเดิมที่ใช้งานฟรีต่อไปได้

Google ได้ตัดสินใจให้ผู้ใช้ G Suite รุ่น Legacy Free ใช้บริการต่อไปโดยไม่ต้องย้ายไปที่ Google Workspace หากใช้งานส่วนตัว Thurrott รายงานการตัดสินใจของ Google

กดติดตามเพื่อไม่ให้พลาดข่าวสารและโปรโมชั่น