fbpx

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

ช่องโหว่หลักของ WordPress เข้าถึงไซต์นับล้าน

โฆษณา



WordPress ประกาศจุดอ่อนระดับภัยคุกคามสูงที่ได้รับการแนะนำโดยทีมพัฒนาหลักเอง

WordPress ประกาศว่าได้แก้ไขช่องโหว่สี่จุดที่มีคะแนนสูงถึง 8 ในระดับ 1 ถึง 10 ช่องโหว่นั้นอยู่ในแกนหลักของ WordPress และเกิดจากข้อบกพร่องที่ทีมพัฒนา WordPress นำเสนอ

สี่ช่องโหว่ของ WordPress

การประกาศของ WordPress มีรายละเอียดสั้น ๆ ว่าช่องโหว่มีความรุนแรงเพียงใดและมีรายละเอียดเพียงเล็กน้อย

อย่างไรก็ตาม ฐานข้อมูลช่องโหว่แห่งชาติของรัฐบาลสหรัฐอเมริกา ซึ่งมีการบันทึกและเผยแพร่ช่องโหว่ดังกล่าว โดยให้คะแนนช่องโหว่ดังกล่าวสูงถึง 8.0 ในระดับ 1 ถึง 10 โดย 10 รายการแสดงถึงระดับอันตรายสูงสุด

ช่องโหว่สี่ประการคือ :

  1. SQL Injection เนื่องจากขาดการล้างข้อมูลใน WP_Meta_Query (ระดับความรุนแรงสูง 7.4)
  2. Authenticated Object Injection ใน Multisites (ระดับความรุนแรงระดับปานกลาง 6.6)
  3. Stored Cross Site Scripting (XSS) ผ่านผู้ใช้ที่ตรวจสอบแล้ว (ระดับความรุนแรงสูง 8.0)
  4. SQL Injection ผ่าน WP_Query เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสม (ระดับความรุนแรงสูง 8.0)

นักวิจัยด้านความปลอดภัยภายนอก WordPress ค้นพบช่องโหว่สามในสี่ช่องโหว่ WordPress ไม่มีความคิดจนกระทั่งพวกเขาได้รับแจ้ง

ช่องโหว่ดังกล่าวถูกเปิดเผยโดยส่วนตัวใน WordPress ซึ่งทำให้ WordPress สามารถแก้ไขปัญหาได้ก่อนที่จะเป็นที่รู้จักในวงกว้าง

การพัฒนา WordPress พุ่งไปในทางที่เป็นอันตราย?

WordPress พัฒนาชะลอตัวลงใน 2021 เพราะพวกเขาไม่สามารถที่จะเสร็จสิ้นการทำงานในรุ่นล่าสุด 5.9 ซึ่งเห็นว่ารุ่นของWordPress ผลักกลับไปในภายหลัง 2022

มีการพูดคุยกันใน WordPress เกี่ยวกับการชะลอความเร็วของการพัฒนาเนื่องจากความกังวลต่อความสามารถในการติดตาม

นักพัฒนาหลักของ WordPress เองได้ส่งสัญญาณเตือนในช่วงปลายปี 2021 เกี่ยวกับความเร็วของการพัฒนา โดยร้องขอให้มีเวลามากขึ้น

หนึ่งในนักพัฒนาเตือน :

“โดยรวมแล้ว ดูเหมือนว่าตอนนี้เรากำลังเร่งรีบในทางที่อันตราย”

เมื่อพิจารณาว่า WordPress ไม่สามารถรักษากำหนดการเผยแพร่ของตนเองได้และกำลังหารือเกี่ยวกับการปรับปฏิทินการเปิดตัวในปี 2022 จากสี่รุ่นเป็นสามรุ่น เราต้องตั้งคำถามเกี่ยวกับความเร็วของการพัฒนา WordPress และควรพยายามมากขึ้นหรือไม่เพื่อให้มั่นใจว่าช่องโหว่ต่างๆ จะไม่ถูกเปิดเผยโดยไม่ได้ตั้งใจ ประชาชน.

ปัญหาการล้างข้อมูลใน WordPress

การล้างข้อมูลเป็นวิธีควบคุมประเภทของข้อมูลที่ได้รับผ่านอินพุตและลงในฐานข้อมูล ฐานข้อมูลคือสิ่งที่เก็บข้อมูลเกี่ยวกับเว็บไซต์ รวมถึงรหัสผ่าน ชื่อผู้ใช้ ข้อมูลผู้ใช้ เนื้อหา และข้อมูลอื่นๆ ที่จำเป็นสำหรับเว็บไซต์ในการทำงาน

เอกสาร WordPressอธิบายการล้างข้อมูล:

“เป็นกระบวนการในการทำความสะอาดหรือกรองข้อมูลที่คุณป้อน ไม่ว่าข้อมูลจะมาจากผู้ใช้หรือ API หรือบริการเว็บ คุณใช้การฆ่าเชื้อเมื่อคุณไม่รู้ว่าจะเกิดอะไรขึ้นหรือคุณไม่ต้องการเข้มงวดกับการตรวจสอบข้อมูล”

เอกสารระบุว่า WordPress ให้ในตัวฟังก์ชั่นผู้ช่วยในการป้องกันปัจจัยการผลิตที่เป็นอันตรายและว่าการใช้ฟังก์ชั่นผู้ช่วยเหล่านี้ต้องใช้ความพยายามน้อยที่สุด

WordPress คาดการณ์ช่องโหว่การป้อนข้อมูลสิบหกประเภทและนำเสนอวิธีแก้ไขเพื่อบล็อกช่องโหว่เหล่านี้

ดังนั้นจึงเป็นเรื่องน่าแปลกใจที่ปัญหาการป้อนข้อมูลสะอาดควรยังคงปรากฏอยู่ในแกนหลักของ WordPress เอง

มีช่องโหว่ระดับสูงสองประการที่เกี่ยวข้องกับการกำจัดสคริปท์ที่ไม่เหมาะสม:

  • WordPress: SQL Injection เนื่องจากการฆ่าเชื้อที่ไม่เหมาะสมใน WP_Meta_Query 
    เนื่องจากขาดการกำจัดสคริปท์ที่เหมาะสมใน WP_Meta_Query จึงมีโอกาสในการ SQL Injection ที่ตาบอด
  • WordPress: SQL Injection ผ่าน WP_Query 
    เนื่องจากการกำจัดสคริปท์ที่ไม่เหมาะสมใน WP_Query อาจมีกรณีที่ SQL Injection สามารถทำได้ผ่านปลั๊กอินหรือธีมที่ใช้ในลักษณะบางอย่าง

ช่องโหว่อื่นๆ ได้แก่:

  • WordPress: Authenticated Object Injection in Multisites 
    บนหลายเว็บไซต์ ผู้ใช้ที่มีบทบาทผู้ดูแลระบบระดับสูงสามารถเลี่ยงการเสริมความแข็งแกร่งอย่างชัดแจ้ง/เพิ่มเติมได้ภายใต้เงื่อนไขบางประการผ่านการ Injectionวั ตถุ
  • WordPress : XSS ที่จัดเก็บผ่านผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ ผู้ใช้ที่
    มีสิทธิ์ได้รับสิทธิ์ต่ำ (เช่นผู้เขียน) ในแกนหลักของ WordPress สามารถเรียกใช้ JavaScript/ดำเนินการโจมตี XSS ที่จัดเก็บไว้ ซึ่งอาจส่งผลต่อผู้ใช้ที่มีสิทธิพิเศษสูง

WordPress แนะนำให้อัปเดตทันที

เนื่องจากช่องโหว่ต่างๆ ถูกเปิดเผย จึงเป็นเรื่องสำคัญที่ผู้ใช้ WordPress ต้องแน่ใจว่าการติดตั้ง WordPress ของตนได้รับการอัปเดตเป็นเวอร์ชันล่าสุด ซึ่งปัจจุบันคือ 5.8.3

แหล่งอ้างอิง

Read the Official WordPress Notice

WordPress 5.8.3 Security Release

National Vulnerability Database Reports

Authenticated Object Injection in Multisites

Stored XSS through authenticated users

Improper sanitization in WP_Query

SQL injection due to improper sanitization in WP_Meta_Query

https://www.searchenginejournal.com/wordpress-core-vulnerabilities/432042/

โฆษณา
EV Charger , ขนของย้ายบ้าน , อุปกรณ์กีฬา , Microsoft 365



** ขอสงวนสิทธิ์ในการตอบคำถามทางแชทไว้เฉพาะลูกค้าที่สนสนใจใช้บริการออกแบบ-พัฒนาเว็บไซต์ และบริการอื่นๆ จากเว็บไซต์ zixzax studio เท่านั้น



google-workspace อีเมลบริษัท ราคาถูก

ซื้อ Google Workspace อีเมลบริษัท



ads aoostudio พื้นลงโฆษณา
Zixzax Studio on Google News

Zixzax On Google News

คุณสามารถติดตามข่าวสาร และบทความจาก ZIXZAX STUDIO ได้แล้วที่ Google News

ads aoostudio พื้นลงโฆษณา


บทความที่เกี่ยวข้อง ในหมวดหมู่ 



Category กับ Tag ต่างกันอย่างไร ?

Category กับ Tag ต่างกันอย่างไร ?

category กับ tag ต่างกันอย่างไร และแนวทางปฏิบัติที่ดีที่สุดสำหรับการทำ SEO บนเว็บไซต์ของคุณ ซึ่งในวันนี้ทาง

อ่านเพิ่มเติม
วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme WordPress)

วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme WordPress)

วิธีลบธีม เวิร์ดเพรสส์ (Delete Theme Wordpress) ซึ่งคุณอาจจะติดตั้งธีมหลายธีมบนเว็บไซต์ Wordpress ของคุณ จนอาจทำให้เว็บไซต์ทำงานช้า และต้องการลบธีม

อ่านเพิ่มเติม
วิธีตั้งค่าหน้าแรก WordPress (ตั้งหน้า Home เว็บไซต์ WordPress)

วิธีตั้งค่าหน้าแรก WordPress (ตั้งหน้า Home เว็บไซต์ WordPress)

วิธีตั้งค่าหน้าแรก บน WordPress (ตั้ง Home เว็บไซต์ Wordpress) ซึ่งเป็นวิธีที่ทำให้หน้าเว็บไซต์นั้นๆเป็นหน้าแรก...

อ่านเพิ่มเติม

บทความล่าสุด …

Microsoft Dev Box สำหรับ Developer

Microsoft Dev Box สำหรับ Developer

นยุคของการทำงานแบบไฮบริด การมีเวิร์กสเตชันในระบบคลาวด์มีความสำคัญอย่างยิ่ง เพื่อให้แน่ใจว่าเวิร์กโฟลว์จะไม่ขาดตอน แม้ว่า Microsoft จะพยายามแก้ไข

มีอะไรใหม่ใน Chrome 102 พร้อมให้ใช้งานแล้ว

มีอะไรใหม่ใน Chrome 102 พร้อมให้ใช้งานแล้ว

คุณลักษณะหลักในรุ่นนี้คือความสามารถสำหรับนักพัฒนาในการควบทรัพยากรเพิ่มเติมใน PWA บนเดสก์ท็อป ทำได้โดยอนุญาตให้แอปไคลเอ็นต์ขยายและควบคุมทั้งหน้าจอ

10 พื้นฐาน SEO ที่ต้องรู้สำหรับนักพัฒนาเว็บ

10 พื้นฐาน SEO ที่ต้องรู้สำหรับนักพัฒนาเว็บ

การทำความเข้าใจพื้นฐานของ SEO สามารถนำไปสู่การทำงานร่วมกันและประสิทธิภาพ SEO ที่ประสบความสำเร็จ ในฐานะนักพัฒนาเว็บไซต์ นี่คือสิ่งที่คุณจำเป็นต้องรู้

Google ,Apple และ Microsoft ประกาศผลักดันใช้รหัสผ่าน มาตรฐาน FIDO

Google ,Apple และ Microsoft ประกาศผลักดันใช้รหัสผ่าน มาตรฐาน FIDO

Google Apple และ Microsoft ประกาศความร่วมมือผลักดันการเข้าสู่ระบบไม่ต้องใช้รหัสผ่าน มาตรฐาน FIDO วันรหัสผ่านโลกนี้ บริษัทเทคโนโลยีที่ใหญ่ที่สุดสามแห่ง

การตลาดสำหรับธุรกิจขนาดเล็ก

การตลาดสำหรับธุรกิจขนาดเล็ก

การตลาดสำหรับธุรกิจขนาดเล็ก เรียนรู้วิธีสร้างแผนการตลาดสำหรับธุรกิจขนาดเล็กที่ยั่งยืนซึ่งได้ลูกค้าใหม่และเพิ่มรายได้ของคุณในอีกหลายปีข้างหน้า

WooCommerce ร่วมมือกับ Pinterest

WooCommerce ร่วมมือกับ Pinterest

WooCommerce ร่วมมือกับ Pinterest ส่วนขยายใหม่ช่วยให้ผู้ค้า WooCommerce มากกว่าสามล้านรายเปลี่ยนแคตตาล็อกผลิตภัณฑ์ให้เป็นพินผลิตภัณฑ์ที่สามารถซื้อได้

6 การเปลี่ยนแปลงที่สำคัญในการเนื้อหาตลาดในปี 2022

6 การเปลี่ยนแปลงที่สำคัญในการเนื้อหาตลาดในปี 2022

สรุป 6 การเปลี่ยนแปลงที่สำคัญในเนื้อหาการตลาดในปี 2022 ในบทความนี้ เราจะแบ่งปันข้อมูลเชิงลึกที่สำคัญจาก รายงานการตลาดทั่วโลกประจำปี 2022 ของ Semrush

Web 1.0, Web 2.0 และ Web 3.0 มีความแตกต่างกัน

Web 1.0, Web 2.0 และ Web 3.0 มีความแตกต่างกัน

Web 1.0, Web 2.0 และ Web 3.0 มีความแตกต่างกัน ลองนึกภาพอินเทอร์เน็ตรูปแบบใหม่ที่ไม่เพียงแต่ตีความสิ่งที่คุณป้อนได้อย่างแม่นยำเท่านั้น แต่ยังเข้าใจทุกสิ่งที่คุณนำเสนอ

กดติดตามเพื่อไม่ให้พลาดข่าวสารและโปรโมชั่น