ຫນີບໍ່ພົ້ນ! ພົບຊ່ອງໂຫວ່ຢູ່ປຼັກອິນ Wishlist ສຳລັບ WordPress ເຮັດໃຫ້ຫຼາຍເວັບໄຊທ໌ຢູ່ພາຍໃຕ້ຄວາມສ່ຽງ
WordPress ເຖິງແມ່ນວ່າຈະເປັນເຄື່ອງມືສຳລັບໃຊ້ໃນການສ້າງເວັບໄຊທ໌ທີ່ໄດ້ຮັບຄວາມນິຍົມສູງສຸດທັງຜູ້ໃຊ້ງານທົ່ວໄປ, ອົງການຕ່າງໆ, ຮວມເຖິງນັກການຕະຫຼາດ, ແຕ່ກໍ່ມັກຈະມີຂ່າວເຖິງການທີ່ບັນຊີຜູ້ໃຊ້ງານຖືກແຮັກ ຫຼືມີຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພໃຫ້ເຫັນຢູ່ເລື້ອຍໆ ດັ່ງເຊັ່ນຂ່າວນີ້.
ຈາກລາຍງານໂດຍເວັບໄຊທ໌ The Hacker News ໄດ້ກ່າວເຖິງການຕວດພົບຊ່ອງໂຫວ່ຄວາມປອດໄພຂອງປຼັກອິນ (Plugin) ທີ່ມີຊື່ວ່າ TI WooCommerce Wishlist ຊຶ່ງເປັນເຄື່ອງມືສຳລັບໃຊ້ໃນການສ້າງລາຍຊື່ສິນຄ້າທີ່ຕ້ອງການຈະຊື້ພ້ອມທັງສາມາດແຊຣ່ລົງບົນໂຊເຊຍລມີເດຍໄດ້ ຫຼື Wishlist ບົນເວັບໄຊທ໌ E-Commerce ທີ່ຖືກສ້າງຂຶ້ນບົນເວັບໄຊທ໌ WordPress. ໂດຍຊ່ອງໂຫວ່ດັ່ງກ່າວນັ້ນມີລະຫັດຄື CVE-2025-47577 ເປັນຊ່ອງໂຫວ່ທີ່ມີຄະແນນຄວາມຮ້າຍແຮງ (CVSS Score) ທີ່ສູງເຖິງລະດັບ 10.0 ໂດຍຈະສົ່ງຜົນຕໍ່ຜູ້ໃຊ້ງານປຼັກອິນດັ່ງກ່າວຕັ້ງແຕ່ເວີຊັນ 2.9.2 ລົງໄປ.
ຊ່ອງໂຫວ່ດັ່ງກ່າວນັ້ນຈະສົ່ງຜົນໃຫ້ແຮັກເກີສາມາດອັບໂຫຼດໄຟລ໌ຕ່າງໆທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ເຊັ່ນ: ເຄື່ອງມືສຳລັບການແຮັກ ຫຼື ໄຟລ໌ມັນແວຣ໌ຕ່າງໆ ຂຶ້ນສູ່ເວັບໄຊທ໌ໄດ້. ໂດຍປຼັກອິນຕົວນີ້ມີເວັບໄຊທ໌ທີ່ຕິດຕັ້ງໃຊ້ງານຫຼາຍກວ່າແສນເວັບເລີຍ.
ຊຶ່ງຂໍ້ມູນໃນເຊິງເທັກນິກນັ້ນ, ຊ່ອງໂຫວ່ດັ່ງກ່າວເກີດຈາກຟັງຊັນ “tinvwl_upload_file_wc_fields_factory” ໂດຍຟັງຊັນນີ້ຈະໃຊ້ງານຟັງຊັນລະດັບ Native ບົນຕົວ WordPress ທີ່ມີຊື່ວ່າ “wp_handle_upload” ແຕ່ກັບມີການຕັ້ງຄ່າຂອງຟັງຊັນສຳລັບການເຂົ້າແທລະແຊງພາລາມີເຕີ (Override Parameters) ເຊັ່ນ “test_form” ແລະ “test_type” ເປັນ “false”.
ສຳລັບ “test_type” ວ່າຮູບແບບໄຟລ໌ທີ່ຖືກອັບໂຫຼດຂຶ້ນມາເປັນໄປຕາມມາດຕະຖານ Multipurpose Internet Mail Extension (MIME) ຫຼືບໍ່, ຂະນະທີ່ “test_form” ຈະເປັນການຕວດສອບໃນສ່ວນຂອງພາລາມີເຕີ $_POST[‘action’] ວ່າເຮັດວຽກຢ່າງຖືກຕ້ອງຫຼືບໍ່. ຊຶ່ງເມື່ອຄ່າຟັງຊັນ “test_type” ຖືກຕັ້ງຄ່າເປັນ “false” ກໍ່ຈະສົ່ງຜົນໃຫ້ລະບົບການແທລະແຊງນັ້ນຖືກປິດ ຈົນແຮັກເກີສາມາດອັບໂຫຼດໄຟລ໌ທຸກຊະນິດຢ່າງບໍ່ມີຂໍ້ຈຳກັດຂຶ້ນສູ່ເວັບໄຊທ໌ຜ່ານທາງຊ່ອງທາງນີ້ໄດ້.
ນອກຈາກນັ້ນທາງແຫຼ່ງຂ່າວຍັງໄດ້ກ່າວອີກວ່າ ຈາກການຕວດສອບພົບວ່າ ຊ່ອງໂຫວ່ດັ່ງກ່າວຈະເປີດຂຶ້ນກໍ່ຕໍ່ເມື່ອຟັງຊັນ “tinvwl_meta_wc_fields_factory” ຫຼື “tinvwl_cart_meta_wc_fields_factory” ຂອງປຼັກອິນອີກຕົວຄື WC Fields Factory ຖືກເປີດໃຊ້ງານຢູ່ບົນລະບົບທີ່ມີການໃຊ້ງານປຼັກອິນທີ່ເປັນປະເດັນຂ້າງເທິງຢູ່ໃນເວລາດຽວກັນເທົ່ານັ້ນ.
ຊຶ່ງໃນຂະນະນີ້ທາງຜູ້ພັດທະນາປຼັກອິນ TI WooCommerce Wishlist ຍັງບໍ່ໄດ້ມີການອອກອັບເດດເພື່ອຈັດການກັບບັນຫາດັ່ງກ່າວແຕ່ຢ່າງໃດ. ດັ່ງນັ້ນຜູ້ທີ່ໃຊ້ງານຢູ່ໃນປັດຈຸບັນ ອາດພິຈາລະນາໃນການຢຸດໃຊ້ງານປຼັກອິນໃດໜຶ່ງເພື່ອຫຼີກລ່ຽງບັນຫາທີ່ອາດເກີດຂຶ້ນໄປກ່ອນ.
ຂ່າວຈາກ: thehackernews.com
ສະແດງຄຳຄິດເຫັນ
ອັດຕາແລກປ່ຽນ
ປະຈຳວັນທີ Monday, 16 June, 2025
ສະກຸນເງິນ | ຊື້ | ຂາຍ |
|---|---|---|
 USD | 21,420 | 21,696 |
 THB | 659.02 | 671.54 |
 EUR | 23,712 | 24,187 |
 CNY | 2,904 | 2,962 |
ຂໍ້ມູນຈາກ: ທະນາຄານຮ່ວມພັດທະນາ
ລາຄານ້ຳມັນ
ປະຈຳວັນທີ Thursday, 27 March, 2025
ຊະນິດນ້ຳມັນ | ລາຄາ |
|---|---|
 | 28,230 |
 | 22,560 |
 | 18,370 |
ຂໍ້ມູນຈາກ: ລັດວິສາຫະກິດ ນ້ຳມັນເຊື້ອໄຟລາວ
ລາຄາຄຳ
ປະຈຳວັນທີ Wednesday, 11 June, 2025
ປະເພດ | ລາຄາຊື້ | ລາຄາຂາຍ |
|---|---|---|
 | 34,990,000 | 35,520,000 |
 | 34,640,000 | 35,629,000 |
ຂໍ້ມູນຈາກ: ຮ້ານຄຳພູວົງ
