Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ພົບຊ່ອງໂຫວ່ໃນ Facebook for WordPress Plugin ໄດ້ມີການຕິດຕັ້ງ ການໃຊ້ງານແລ້ວ ຫຼາຍກວ່າ 500,000 ຄັ້ງ

ພົບຊ່ອງໂຫວ່ໃນ Facebook for WordPress Plugin ໄດ້ມີການຕິດຕັ້ງ ການໃຊ້ງານແລ້ວ ຫຼາຍກວ່າ 500,000 ຄັ້ງທີມ​ນັກ​ວິ​ໄຈຈາກ​ WordFence ພົບ​ຊ່ອງ​ໂຫວ່ຂອງ​ plugin ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ວ່າ​ "Official Facebook Pixel" ເຮັດ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຄ່າ​ salts ແລະ​ keys ໂດຍ​ບໍ່​ຕ້ອງ​ພິສູດ​ຕົວ​ຕົນ​ (unauthenticate) ເພື່ອ​ນຳ​ໄປ ​ໃຊ້​ຣັນ​ (Run) ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ (RCE) ຮ່ວມ​ກັບ​ເຕັກ​ນິກ​ deserialization

ຊ່ອງ​ໂຫວ່​ ຍັງ​ສາມາດ​ຖືກ​ໃຊ້​ເພື່ອ​ inject JavaScript ເຂົ້າໄປ​ໃນ​ setting ຂອງ​ plugin ຖ້າຫາກ​ສາມາດ​ຫຼອກລໍ້​ໃຫ້​ເຫຍື່ອກົດ​ລິ້ງ​ໄດ້​, ​ເຄີຍໄດ້​ແຈ້ງ​ໃຫ້​ Facebook ຮູ້​ຕັ້ງ​ແຕ່​ເດືອນ ທັນວາ ​ປີ​ທີ່ຜ່ານມາ​ແລ້ວ​ ແລະ​ ໄດ້​ປ່ອຍ​ແພັດ​​ແກ້​ໄຂ (Patch) ​ໃນ​ເດືອນ​ ມັງກອນ ​ທີ່​ຜ່ານມາ​ ຊ່ອງ​ໂຫວ່​ໄດ້ຮັບ​ຄວາມ​ຮຸນແຮງ​ໃນ​ລະ​ດັບ​ critical ແລະ ​ມີ​ຄະ​ແນນ​ 9 ຈາກ​ 10 (CVE-2021-24217).

ຫຼັງ​ຈາກ​ນັ້ນ​ກໍ່ໄດ້​​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ທີ​ 2 ແລະ ​ແຈ້ງ​ໄປ​ຫາ​ Facebook ຕັ້ງ​ແຕ່ທ້າຍ​ເດືອນ​ ມັງກອນ ​ທີ່​ຜ່ານມາ​ ແລະ ​ໄດ້​​ອອກ​ແພັດ (Patch) ​ເພື່ອ​ແກ້​ໄຂ​ບັນຫາໃນລະຫວ່າງ​ກາງ​ເດືອນ​ ກຸມພາ ​ທີ່​ຜ່ານມາ​ ເປັນ​ຊ່ອງ​ໂຫວ່​ Cross-Site Request Forgery ມີ​ຄວາມ​ຮຸນແຮງ​ໃນ​ລະ​ດັບ​ high ມີ​ຄະ​ແນນ​ 8.8 ຈາກ​ 10 (CVE-2021-24218) ຖ້າຫາກ​ໂຈມ​ຕີ​ສຳ​ເລັດ ​ຈະ​ເຮັດໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ສຳຄັນ​ເທິງ​ເວັບ​ໄຊ​​ ຈາກ​ການ​ inject JavaScript ເຂົ້າໄປ​ໃນ​ສ່ວນ​ setting ຂອງ​ plugin ໄດ້​.

 

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຜູ້​ທີ່ໃຊ້​ງານ​ plugin ດັ່ງ​ກ່າວ​ຄວນ​ອັບ​ເດດ​ເປັນ​ເວີ​​ຊັ່ນ​ 3.0.5 ເພື່ອ​ແກ້ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​.


ເອກະສານອ້າງອີງ:

  1. https://www.searchenginejournal.com/facebook-for-wordpress…/
  2. https://www.wordfence.com/…/two-vulnerabilities-patched-in…/
  3. https://www.facebook.com/187949347882491/posts/4226830923994293/

ລາຍການຮູບ

Meesaisak 02 April 2021 3,893 Print