ព័ត៌មាន

កំហុស Unpatched ដ៏ធ្ងន់ធ្ងរត្រូវគេរកឃើញនៅលើ WordPress WooCommerce Extension

ប្រសិនបើអ្នកជាម្ចាស់គេហទំព័រ eCommerce ដែលបានបង្កើតឡើងនៅលើ WordPress និងបំពាក់ដោយកម្មវិធីជំនួយ WooCommerce សូមប្រុងប្រយ័ត្នចំពោះភាពងាយរងគ្រោះថ្មីដែលមិនត្រូវបានដាក់ជាសាធារណៈហើយអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារគេហទំព័ររបស់អ្នកបាន។

ដើម្បីឱ្យច្បាស់លាស់ភាពងាយរងគ្រោះដែលមិនត្រូវបានរស្ថិតនៅក្នុងកម្មវិធីស្នូលរបស់ WordPress ឬ WooCommerce នោះទេ។ ជំនួសមកវិញភាពងាយរងគ្រោះមាននៅក្នុងកម្មវិធីជំនួយដែលត្រូវបានគេហៅថាកម្មវិធីគ្រប់គ្រង WooCommerce Checkout Manager ដែលពង្រីកមុខងាររបស់ WooCommerce ហើយបច្ចុប្បន្នកំពុងត្រូវបានប្រើប្រាស់ដោយគេហទំព័រច្រើនជាង ៦០,០០០ ។

ភាពងាយរងគ្រោះគឺបញ្ហា “arbitrary file upload” ដែលអាចត្រូវបានប្រើដើម្បីវាយប្រហារពីចម្ងាយប្រសិនបើគេហទំព័រដែលងាយរងគ្រោះមានជម្រើស “Categorize Uploaded Files ” ដែលបើកនៅក្នុងការកំណត់កម្មវិធីគ្រប់គ្រង WooCommerce Checkout Manager ។

WooCommerce Checkout Manager version 4.2.6 ដែលជាកម្មវិធីជំនួយចុងក្រោយបំផុតដែលមានបញ្ហានេះ។ ប្រសិនបើវេបសាយ WordPress របស់អ្នកកំពុងប្រើកម្មវិធីជំនួយនេះ អ្នកត្រូវបិទជម្រើស “Categorize Uploaded Files” នៅក្នុង Setting ឬបិទកម្មវិធីជំនួយទាំងស្រុងរហូតដល់ចេញកំណែថ្មី។

នេះមិនមែនជាលើកទីមួយទេដែលក្រុមហ៊ុន ” Plugin Vulnerabilities” បានបង្ហាញពីកំហុសឆ្គងដែលមិនត្រូវបានលាតត្រដាងដល់សាធារណៈជន។

ក្រុមហ៊ុននេះបានបន្តបង្ហាញពីភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីជំនួយ ជាច្រើនចាប់តាំងពីពួកគេមានបញ្ហាជាមួយនឹងអ្នកសម្របសម្រួលវេទិកា WordPress។ យ៉ាងហោចណាស់រយៈពេលពីរឆ្នាំ ក្រុមការងារនៅពីក្រោយ Plugin Vulnerabilities បានបញ្ចេញព័ត៌មានលំអិតអំពីភាពងាយរងគ្រោះដែលបានរកឃើញថ្មីដោយផ្ទាល់នៅលើវេទិកាគាំទ្រ WordPress ជំនួសឱ្យការរាយការណ៍ទៅកាន់អ្នកសរសេរកម្មវិធីជំនួយដោយផ្ទាល់ដោយរំលោភលើគោលការណ៍របស់វេទិកា។

image

image

image