ช่องโหว่ใน Plugin ของ WordPress อาจทำให้เกิดการละเมิดข้อมูล

398/66 (IT) ประจำวันศุกร์ที่ 1 กันยายน 2566

All-in-One WP Migration เป็น Plugin ที่ช่วยในการย้ายข้อมูลเว็บไซต์ ที่นิยมใน WordPress มีจำนวนการติดตั้งใช้งานกว่า 5 ล้านครั้ง โดยได้รับผลกระทบจากการจัดการ Access Token ที่ไม่ได้รับการรับรองความถูกต้อง ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ซึ่ง All-in-One WP Migration เป็นเครื่องมือในการย้ายเว็บไซต์ WordPress ที่ใช้งานง่ายเหมาะสำหรับผู้ใช้งานที่ไม่มีความรู้ทางด้านเทคนิค

ช่องโหว่ดังกล่าวหมายเลข CVE-2023-40004 เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีที่ไม่ได้รับการรับรองความถูกต้องสามารถเข้าถึงและจัดการการกำหนดค่า Token บนส่วนขยายที่ได้รับผลกระทบได้ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถโอนข้อมูลการย้ายเว็บไซต์ไปยังบัญชีบริการคลาวด์อื่นหรือกู้คืนข้อมูลสำรองที่เป็นอันตรายได้ หากมีการใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจจะมีการละเมิดข้อมูลที่รวมถึงรายละเอียดผู้ใช้ ข้อมูลเว็บไซต์ที่สำคัญ และข้อมูลที่เป็นกรรมสิทธิ์ได้ โดยได้มีการเผยแพร่การอัปเดตความปลอดภัยเมื่อวันที่ 26 กรกฎาคม 2023

ผู้ใช้งาน Plugin ที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วต่อไปนี้

– Box Extension: v1.54

– Google Drive Extension: v2.80

– OneDrive Extension: v1.67

– Dropbox Extension: v3.76

นอกจากนี้ยังแนะนำให้ใช้ Plugin พื้นฐาน (ฟรี) เวอร์ชันล่าสุด All-in-One WP Migration v7.78

แหล่งข่าว ( https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/ )