ភាពងាយរងគ្រោះដែលទើបតែរកឃើញកាលពីពេលថ្មីៗនេះនៅក្នុងកម្មវិធីជំនួយ Essential Addons សម្រាប់ plugin Elementor ដាក់វេបសាយ WordPress ជិតមួយលានវេបសាយឱ្យប្រឈមនឹងគ្រោះថ្នាក់នៃការវាយប្រហារក្នុងគោលបំណងដើម្បីទទួលសិទ្ធចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់គណនីរបស់អ្នកប្រើប្រាស់។
អ្នកជំនាញសន្តិសុខសាយប័រកំណត់លេខសម្គាល់បញ្ហាសុវត្ថិភាពនេះថាជា CVE-2023-32243 នៅក្នុងសេចក្តីណែនាំមួយដែលចេញផ្សាយកាលពីថ្ងៃព្រហស្បតិ៍។ សំណេរបច្ចេកទេសមានបញ្ជាក់ខ្លឹមសារថា៖ “plugin នេះរងការវាយប្រហារពីភាពងាយរងគ្រោះនៃការបន្ថែមសិទ្ធិដែលមិនផ្ទៀងផ្ទាត់ និងអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនផ្ទៀងផ្ទាត់ណាមួយបង្កើនសិទ្ធិរបស់ពួកគេចំពោះអ្នកប្រើប្រាស់ផ្សេងទៀតនៅលើវេបសាយ WordPress”។
អ្នកស្រាវជ្រាវ Patchstack ពន្យល់បន្ថែមទៀតថា តាមរយៈការបំពានភាពងាយរងគ្រោះនេះ អ្នកវាយប្រហារអាចកំណត់ពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ឡើងវិញដោយគ្រាន់តែស្គាល់ឈ្មោះរបស់ពួកគេ។ ដោយការអនុវត្តបែបនេះ អ្នកវាយប្រហារអាចទទួលសិទ្ធិចូលប្រើប្រាស់គណនីអ្នកប្រើប្រាស់ដោយមិនមានការអនុញ្ញាតទៅកាន់គណនីរបស់អ្នកប្រើប្រាស់រួមទាំងអ្នកប្រើប្រាស់ទាំងឡាយណាដែលមានសិទ្ធិគ្រប់គ្រងផងដែរ។
ក្រុមហ៊ុនបញ្ជាក់ថា កំហុសនោះត្រូវដោះស្រាយក្នុងកំណែ 5.7.2 ដែលចេញផ្សាយកាលពីថ្ងៃទី11 ខែឧសភា នៅរយៈពេលប៉ុន្មានថ្ងៃបន្ទាប់ពីក្រុមហ៊ុន Patchstack ទាក់ទងទៅអ្នកលក់កម្មវិធីជំនួយនៅថ្ងៃទី8 ខែឧសភា។ ស្របពេលជាមួយគ្នានោះដែរ។ ក្រុមហ៊ុន Patchstack បញ្ជាក់ថា កម្មវិធីនោះអាចមានភាពងាយរងគ្រោះច្រើន ហើយភាពងាយរងគ្រោះថ្មីអាចកើតឡើងបន្ថែមទៀតនៅពេលអនាគត។
ដើម្បីទប់ស្កាត់បញ្ហានេះ អ្នកគ្រប់គ្រងប្រព័ន្ធគួរតែអនុវត្តស្រទាប់សុវត្ថិភាពបន្ថែមទៀតដោយក្នុងនោះមានដូចជាការគ្រប់គ្រងលើការចូលប្រើប្រាស់ ពិនិត្យ និងប្រើប្រាស់មុខងារដូចជា check_password_reset_key ដែលផ្ទៀងផ្ទាត់សុពលភាព និងការផុតកំណត់នៃសោកំណត់ពាក្យសម្ងាត់ឡើងវិញ ដើម្បីធានាដល់ដំណើរការកំណត់ពាក្យសម្ងាត់ឡើងវិញប្រកបដោយសុវត្ថិភាព៕
ប្រភព infosecurity ចុះផ្សាយឡើងវិញថ្ងៃទី១៥ ខែឧសភា ឆ្នាំ២០២៣