ព័ត៌មាន

WordPress plugins ដ៏ពេញនិយមគឺមានចន្លោះប្រហោងនៅលើ SQL injection ដ៏មានគ្រោះថ្នាក់បំផុត

សង្ខេប៖កម្មវិធីជំនួយដែលងាយរងគ្រោះឥឡូវត្រូវគេដាក់លក់។ ភាពងាយរងគ្រោះទាំង ៩ ត្រូវបានផ្តល់ជូនពិន្ទុ CVSS ៩.០ និងត្រូវគេវាយតម្លៃថាមានភាពធ្ងន់ធ្ងរធ្ងន់ធ្ងរ។ WordPress plugins ពេញនិយមចំនួនប្រាំបួនផ្សេងគ្នាត្រូវបានគេរកឃើញនិងរាយការណ៍ថាមានភាពងាយរងគ្រោះពីការចាក់ SQL ផ្សេងគ្នា។ កម្មវិធីជំនួយពេញនិយមទាំងនោះជាកម្មសិទ្ធិរបស់ប្រភេទផ្សេងៗគ្នាដូចជាការផ្សាយពាណិជ្ជកម្ម ការបរិច្ចាគ  រូបភាព  ព្រឹត្តិប័ត្រព័ត៌មានជាដើមហើយកម្មវិធីទាំងនោះត្រូវគេហទំព័រជាច្រើនប្រើប្រាស់យ៉ាងទូលំទូលាយ។

ម្ចាស់គេហទំព័រជាច្រើនក៏បានវាយតម្លៃថាកម្មវិធីជំនួយទាំងនេះមានឋានៈខ្ពស់នៅក្នុងចំណាត់ថ្នាក់ដែលជាកម្មសិទ្ធិរបស់ពួកគេ។ ម្ចាស់គេហទំព័រជាច្រើនក៏វាយតម្លៃថា កម្មវិធីជំនួយទាំងនោះមានឋានៈខ្ពស់នៅក្នុងចំណាត់ថ្នាក់ដែលជាកម្មសិទ្ធិរបស់ពួកគេ។

អ្នកណារកឃើញភាពងាយរងគ្រោះ?

ភាពងាយរងគ្រោះត្រូវបានរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខមកពី FortiGuard Labs របស់ Fortinet ហើយត្រូវគេផ្សព្វផ្សាយជាសាធារណៈក្នុងរបាយការណ៍លម្អិត។ FortiGuard Labs CVE  កំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះទាំងអស់។ ខាងក្រោមនេះគឺជាបញ្ជីអត្តសញ្ញាណប័ណ្ណ CVE ទាក់ទងទៅនឹងភាពងាយរងគ្រោះទាំង ៩។

FortiGuard វាយតម្លៃរាល់ភាពងាយរងគ្រោះដែលមានក្នុងតារាងពិន្ទុ ៩.០ ហើយលើកឡើងថា ពួកគេស្ថិតក្រោមភាពធ្ងន់ធ្ងរ។ ទាំងកំណែឥតគិតថ្លៃ និងកម្មវិធីជំនួយពេញនិយមដូចជា AdRotate, NextGen, Impress Give រងផលប៉ះពាល់។ ខណៈពេលដែលភាពងាយរងគ្រោះភាគច្រើនមានលំនាំកូដដូចគ្នា  អ្នកស្រាវជ្រាវ FortiGuard ពន្យល់លម្អិតអំពីភាពងាយរងគ្រោះធំ ៗ ទាំងបីជាមួយ CVEs FG-VD-19-098,  FG-VD-19-099, និង FG-VD-19-092 ។

តើការចាក់ SQL កើតឡើងយ៉ាងដូចម្តេច?

ភាពងាយរងគ្រោះនៃការចាក់ SQL កើតឡើងនៅពេលអ្នកប្រើប្រាស់បញ្ចូលវាដើម្បីបង្កើតសំណួរ SQL ដោយមិនពិនិត្យឱ្យបានត្រឹមត្រូវ។ គួរឱ្យចាប់អារម្មណ៍ក្នុងករណីនេះ ភាពងាយរងគ្រោះប្រាំបីក្នុងចំណោមប្រាំបួនភាពងាយរងគ្រោះដែលកំណត់បានមានលំនាំកូដដូចគ្នាដែលធ្វើឱ្យពួកគេងាយរងការចាក់ SQL។ របាយការណ៍របស់ FortiGuard ចង្អុលបង្ហាញថា ​    “ទោះបីជាមានសក្តានុពលក្នុងការកេងប្រវ័ញ្ចក៏ដោយក៏អ្នកអភិវឌ្ឍន៍ជាច្រើនមិនយកចិត្តទុកដាក់ពីទិន្នន័យដែលផ្គត់ផ្គង់ពីអ្នកប្រើនោះទេ។ ហើយក្នុងករណីនេះ វាកើតឡើងទោះបីជាមានការខិតខំរបស់ WordPress Core ក៏ដោយ ព្រោះពួកគេប្រើវិធីសាស្រ្តផ្សេងៗដើម្បីធានាថា ទិន្នន័យដែលផ្គត់ផ្គង់ដោយអ្នកប្រើប្រាស់មានសុវត្ថិភាពល្អ។

ការកាត់បន្ថយ

នៅពេលដែលសរសេរអត្ថបទនេះ ភាពងាយរងគ្រោះទាំងអស់នេះត្រូវបានម្ចាស់ហាងជួសជុលរៀងខ្លួន ក្រោយអ្នកស្រាវជ្រាវរបស់ FortiGuard ធ្វើការរាយការណ៍។ ដូច្នេះអ្នកប្រើប្រាស់ត្រូវគេស្នើសុំឱ្យទាញយកការជួសជុលសម្រាប់កម្មវិធីជំនួយទាំងនេះពីប្រភពម្ចាស់ផ្លូវការ។

 អនុសាសន៍របស់អ្នកស្រាវជ្រាវ

ទោះបីជា WordPress Core ចាត់វិធានការចាំបាច់ទាំងអស់ដើម្បីជួយអ្នកអភិវឌ្ឍន៍ការពារពីការវាយប្រហារទូទៅដែលបណ្តាលមកពីការបញ្ចូលមិនត្រឹមត្រូវរបស់អ្នកប្រើប្រាស់  ការអនុវត្តន៍លេខកូដមិនត្រឹមត្រូវ  និងមុខងារដែលមិនត្រឹមត្រូវ នៅតែនាំឱ្យមានភាពងាយរងគ្រោះ។ គេចាត់ទុកថា វាជាផ្នែកមួយនៃវេទិកា CMS ដែលលេចធ្លោនៅក្នុងទីផ្សារ    WordPress អាចជាគោលដៅវាយប្រហារជាក់ស្តែងបំផុតសម្រាប់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតណាមួយ។ ដើម្បីចៀសវាងបញ្ហានេះ អ្នកអភិវឌ្ឍន៍គួរតែធ្វើតាមស្តង់ដារសរសេរកូដយ៉ាងតឹងរឹង និងរក្សាការអនុវត្តក្នុងការសរសេរកូដប្រកបដោយប្រសិទ្ធភាព។

image

image