ທີມ​ນັກ​ວິ​ໄຈຈາກ​ WordFence ພົບ​ຊ່ອງ​ໂຫວ່ຂອງ​ plugin ທີ່​ຮູ້​ຈັກ​ກັນ​ໃນ​ຊື່​ວ່າ​ "Official Facebook Pixel" ເຮັດ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຄ່າ​ salts ແລະ​ keys ໂດຍ​ບໍ່​ຕ້ອງ​ພິສູດ​ຕົວ​ຕົນ​ (unauthenticate) ເພື່ອ​ນຳ​ໄປ ​ໃຊ້​ຣັນ​ (Run) ຄຳ​ສັ່ງ​ອັນຕະລາຍ​ (RCE) ຮ່ວມ​ກັບ​ເຕັກ​ນິກ​ deserialization

ຊ່ອງ​ໂຫວ່​ ຍັງ​ສາມາດ​ຖືກ​ໃຊ້​ເພື່ອ​ inject JavaScript ເຂົ້າໄປ​ໃນ​ setting ຂອງ​ plugin ຖ້າຫາກ​ສາມາດ​ຫຼອກລໍ້​ໃຫ້​ເຫຍື່ອກົດ​ລິ້ງ​ໄດ້​, ​ເຄີຍໄດ້​ແຈ້ງ​ໃຫ້​ Facebook ຮູ້​ຕັ້ງ​ແຕ່​ເດືອນ ທັນວາ ​ປີ​ທີ່ຜ່ານມາ​ແລ້ວ​ ແລະ​ ໄດ້​ປ່ອຍ​ແພັດ​​ແກ້​ໄຂ (Patch) ​ໃນ​ເດືອນ​ ມັງກອນ ​ທີ່​ຜ່ານມາ​ ຊ່ອງ​ໂຫວ່​ໄດ້ຮັບ​ຄວາມ​ຮຸນແຮງ​ໃນ​ລະ​ດັບ​ critical ແລະ ​ມີ​ຄະ​ແນນ​ 9 ຈາກ​ 10 (CVE-2021-24217).

ຫຼັງ​ຈາກ​ນັ້ນ​ກໍ່ໄດ້​​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ທີ​ 2 ແລະ ​ແຈ້ງ​ໄປ​ຫາ​ Facebook ຕັ້ງ​ແຕ່ທ້າຍ​ເດືອນ​ ມັງກອນ ​ທີ່​ຜ່ານມາ​ ແລະ ​ໄດ້​​ອອກ​ແພັດ (Patch) ​ເພື່ອ​ແກ້​ໄຂ​ບັນຫາໃນລະຫວ່າງ​ກາງ​ເດືອນ​ ກຸມພາ ​ທີ່​ຜ່ານມາ​ ເປັນ​ຊ່ອງ​ໂຫວ່​ Cross-Site Request Forgery ມີ​ຄວາມ​ຮຸນແຮງ​ໃນ​ລະ​ດັບ​ high ມີ​ຄະ​ແນນ​ 8.8 ຈາກ​ 10 (CVE-2021-24218) ຖ້າຫາກ​ໂຈມ​ຕີ​ສຳ​ເລັດ ​ຈະ​ເຮັດໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ສຳຄັນ​ເທິງ​ເວັບ​ໄຊ​​ ຈາກ​ການ​ inject JavaScript ເຂົ້າໄປ​ໃນ​ສ່ວນ​ setting ຂອງ​ plugin ໄດ້​.

 

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຜູ້​ທີ່ໃຊ້​ງານ​ plugin ດັ່ງ​ກ່າວ​ຄວນ​ອັບ​ເດດ​ເປັນ​ເວີ​​ຊັ່ນ​ 3.0.5 ເພື່ອ​ແກ້ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​.

ເອກະສານອ້າງອີງ:

1. https://www.searchenginejournal.com/facebook-for-wordpress…/
2. https://www.wordfence.com/…/two-vulnerabilities-patched-in…/
3. https://www.facebook.com/187949347882491/posts/4226830923994293/