398/66 (IT) ประจำวันศุกร์ที่ 1 กันยายน 2566
All-in-One WP Migration เป็น Plugin ที่ช่วยในการย้ายข้อมูลเว็บไซต์ ที่นิยมใน WordPress มีจำนวนการติดตั้งใช้งานกว่า 5 ล้านครั้ง โดยได้รับผลกระทบจากการจัดการ Access Token ที่ไม่ได้รับการรับรองความถูกต้อง ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ซึ่ง All-in-One WP Migration เป็นเครื่องมือในการย้ายเว็บไซต์ WordPress ที่ใช้งานง่ายเหมาะสำหรับผู้ใช้งานที่ไม่มีความรู้ทางด้านเทคนิค
ช่องโหว่ดังกล่าวหมายเลข CVE-2023-40004 เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีที่ไม่ได้รับการรับรองความถูกต้องสามารถเข้าถึงและจัดการการกำหนดค่า Token บนส่วนขยายที่ได้รับผลกระทบได้ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถโอนข้อมูลการย้ายเว็บไซต์ไปยังบัญชีบริการคลาวด์อื่นหรือกู้คืนข้อมูลสำรองที่เป็นอันตรายได้ หากมีการใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจจะมีการละเมิดข้อมูลที่รวมถึงรายละเอียดผู้ใช้ ข้อมูลเว็บไซต์ที่สำคัญ และข้อมูลที่เป็นกรรมสิทธิ์ได้ โดยได้มีการเผยแพร่การอัปเดตความปลอดภัยเมื่อวันที่ 26 กรกฎาคม 2023
ผู้ใช้งาน Plugin ที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วต่อไปนี้
– Box Extension: v1.54
– Google Drive Extension: v2.80
– OneDrive Extension: v1.67
– Dropbox Extension: v3.76
นอกจากนี้ยังแนะนำให้ใช้ Plugin พื้นฐาน (ฟรี) เวอร์ชันล่าสุด All-in-One WP Migration v7.78
แหล่งข่าว ( https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/ )