ព័ត៌មាន

WordPress Plugin Fixes Bug អនុញ្ញាតឱ្យមានការដោនឡូតច្រើនជាង 100K+ នៅលើបញ្ជីរបស់ Subscriber

WordPress Plugin Fixes Bug អនុញ្ញាតឱ្យមានការដោនឡូតច្រើនជាង 100K+ នៅលើបញ្ជីរបស់ Subscriber។  អ៊ីម៉ែល និងព្រឹត្តិប័ត្រព័ត៌មានរបស់អតិថិជនបញ្ចូលការជួសជុលសម្រាប់ version 3.4.8 នៅថ្ងៃទី 19 ខែមករា បន្ទាប់ពីធ្វើការយ៉ាងជិតស្និទ្ធជាមួយលោក Dominykas Gelucevicius មកពី ThreatPress ដែលជាក្រុមហ៊ុនផ្តល់ជូននូវផលិតផល និងសេវាកម្មសុវត្ថិភាពសម្រាប់អ្នកប្រើប្រាស់ WordPress។ 

image

 

លោក Gelucevicius និយាយថា ភាពងាយរងគ្រោះមាននៅក្នុង plugin version ទាំងអស់មុន version 3.4.8 ។ គាត់បន្តពន្យល់បញ្ហានេះនៅក្នុងអ៊ីម៉ែលមួយជាមួយ The State of Securityថា:

“កង្វះខាតផ្នែកសន្តិសុខមានដូចខាងក្រោម សំណើរ HTTP POST ត្រូវផ្ញើទៅអាសយដ្ឋានគេហទំព័រដែលបញ្ចប់ដោយប៉ារ៉ាម៉ែត្រនាំចេញ /?es=export parameter ការបន្ថែមទិន្នន័យ POST បន្ថែម option = view_all_subscribers ។ ឯកសារដែលនាំចេញទិន្នន័យគឺ exprort-email-address.php ដែលក៏ទទួលយកប៉ារ៉ាម៉ែត្រដូចជា view_active_subscribers, view_inactive_subscribers, registered_user, commentposed_user ជាដើម។”

 ការប្រើសំណួរសាមញ្ញមួយជាមួយនឹង PublicWWW.com កំណត់ថាវាមានភាពងាយស្រួល ក្នុងការស្វែងរកគេហទំព័រច្រើនជាង 80,000 ដែលប្រើ Email Subscribers & Newsletters (នៅក្នុងទំព័រផ្លូវការរបស់កម្មវិធីជំនួយនិយាយថាមានគេហទំព័រជាង 100.000 ដែលប្រើវា) ។  នេះមិនមែនជាកំហុសតែមួយគត់ដែលបានរកឃើញថ្មីៗនេះបើយោងតាម ThreatPress ។ នៅឆ្នាំ 2017 ក្រុមហ៊ុនសន្តិសុខបន្ថែមភាពងាយរងគ្រោះចំនួន 221 នៅក្នុងកម្មវិធីជំនួយ plugin និង themes ពីប្រភពជាច្រើនពីមូលដ្ឋានទិន្នន័យរបស់វា។ កំហុសច្រើនជាងមួយភាគបី (35,1%) នៃកំហុសទាំងនោះគឺការសរសេរ cross-site scripting (XSS) ដែលតាមពីក្រោយដោយ SQL injection (19,8%) និងការចូលប្រើអត់កំណត់ (9,9%) ។

 ជារួមការព្យាករណ៍ពីការគំរាមកំហែងរបស់ ThreatPress ថាភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីជំនួយ plugins និង themes ត្រូវដាក់បញ្ចូលយ៉ាងហោចណាស់ចំនួន 17,101,300 គេហទំព័រដែលមានហានិភ័យនៅក្នុងឆ្នាំ 2017 ។  ស្ថាបន័ដែលប្រើប្រាស់ Email Subscribers & Newsletters ជាមួយវេបសាយរបស់ពួកគេគួរធ្វើបច្ចុប្បន្នភាពកម្មវិធីជំនួយរបស់ពួកគេឱ្យឆាប់តាមដែលអាចធ្វើទៅបាន។ ពួកគេក៏គួរតែពិចារណាក្នុងការវិនិយោគលើដំណោះស្រាយការគ្រប់គ្រងងាយរងគ្រោះដើម្បីឱ្យពួកគេអាចរកឃើញនិងកំណត់អាទិភាពកំហុសទាំងអស់នៅលើបណ្តាញរបស់ពួកគេ៕