ພົບ​ຊ່ອງ​ໂຫວ່​ໃນ​ WordPress ສຳລັບ​ Plugin Advanced Custom Fields ແລະ​ Plugin Advanced Custom Fields Pro ຊຶ່ງ​ມີ​ຄວາມ​ສ່ຽງ​ຕໍ່​ການ​ຖືກ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ XSS (cross-site-scripting) ຊຶ່ງ​ມີ​ການ​ຕິດ​ຕັ້ງ​ໃຊ້​ງານ​ແລ້ວ​ຫຼາຍກວ່າ​ 2 ລ້ານ​ເວັບ​ໄຊໃນ​ທົ່ວ​ໂລກ,​ ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຖືກ​ຕິດ​ຕາມ​ດ້ວຍ​ໝາຍ​ເລກ​ CVE-2023-30777 ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ທີ່​ບໍ່​ໄດ້ຮັບ​ການ​ກວດ​ສອບ​ສິດ ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ເທິງ​ບ​ຣາ​​ວເຊີ​ (Browser)​ແລະ ລວມ​ເຖິງການ​ຫຼອກ​ລໍ້​ໃຫ້​ຜູ້​ໃຊ້​ງານ​ເອີ້ນ​ໃຊ້​ URL ທີ່​ເປັນ​ອັນຕະລາຍ​.

ລັກສະນະ​ກ​າ​ນ​ໂຈມ​ຕີ​ແບບສະ​ທ້ອນ​ກັບ​ (Reflected XSS) ຈະ​ເກີດ​ຂຶ້ນ​ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ກົດ​ລິ້ງ​ປອມ​ທີ່ຖືກ​ສົ່ງ​ມາ​ທາງ​ອີ​ເມວ ເຮັດໃຫ້​ລະ​ຫັດ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຖືກ​ສົ່ງ​ຕໍ່ໄປ​ຫາເວັບ​ໄຊ​ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​ ຊຶ່ງ​ຈະ​ສະ​ທ້ອນ​ການ​ໂຈມ​ຕີກັບ​ໄປ​ຫາບ​ຣາ​ວ​ເຊີ​​ຂອງ​ຜູ້​ໃຊ້​ງານ​ ໃນລັກສະນະ​ດັ່ງ​ກ່າວ​ ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ກະ​ຈາຍ​ລິ້ງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄປຫາເຄື່ອງ​ອື່ນ​ໄດ້​.

ນອກ​ຈາກ​ນີ້​, ຍັງ​ພົບ​ຊ່ອງໂຫວ່ໃນ​ XSS ໃນ​ຟັງ​​ຊັ່ນ​ cPanel ຕິດ​ຕາມ​ດ້ວຍ​ໝາຍ​ເລກ​ CVE-2023-29489 (CVSS:6.1) ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ໄລຍະ​ໄກໂດຍ​ບໍ່​ຕ້ອງ​ມີ​ການ​ກວດ​ສອບ​ສິດ​ ລວມ​ເຖິງ​ເຂົ້າ​ເຖິງ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ຕ່າງ​ໆ​ ທີ່​ເຮັດວຽກ​ເທິງ​ Port 80 ແລະ​ 443.

WordPress ແນະ​ນຳ​ ຖ້າຫາກ​ມີ​ການ​ໃຊ້​ງານ​ ‘Advanced Custom Fields’ and ‘Advanced Custom Fields Pro’ ໃຫ້ອັບ​ເກຣດ​ເປັນ​ເວີ​ຊັ່ນ​ 6.1.6 ຫຼື ​ທີ່​ໃໝ່​ກວ່າ​​ທັນ​ທີ​.

 ເອກະສານອ້າງອີງ: 

1. https://www.bleepingcomputer.com/news/security/wordpress-custom-field-plugin-bug-exposes-over-1m-sites-to-xss-attacks/
2. https://thehackernews.com/2023/05/new-vulnerability-in-popular-wordpress.html
3. https://cybertron.co.th/wordpress-plugin/