កំហុស Essential Addons Plugin បញ្ចេញទិន្ន័យវេបសាយ WordPress មួយលានករណី

0

ភាពងាយរងគ្រោះដែលទើបតែរកឃើញកាលពីពេលថ្មីៗនេះនៅក្នុងកម្មវិធីជំនួយ Essential Addons សម្រាប់ plugin Elementor ដាក់វេបសាយ WordPress ជិតមួយលានវេបសាយឱ្យប្រឈមនឹងគ្រោះថ្នាក់នៃការវាយប្រហារក្នុងគោលបំណងដើម្បីទទួលសិទ្ធចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់គណនីរបស់អ្នកប្រើប្រាស់។

អ្នកជំនាញសន្តិសុខសាយប័រកំណត់លេខសម្គាល់បញ្ហាសុវត្ថិភាពនេះថាជា CVE-2023-32243 នៅ​ក្នុង​សេចក្តី​ណែនាំ​មួយ​ដែល​​ចេញ​ផ្សាយ​កាល​ពី​ថ្ងៃ​ព្រហស្បតិ៍។ សំណេរបច្ចេកទេសមានបញ្ជាក់ខ្លឹមសារថា៖ “plugin នេះរងការវាយប្រហារពីភាពងាយរងគ្រោះនៃការបន្ថែមសិទ្ធិដែលមិនផ្ទៀងផ្ទាត់ និងអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនផ្ទៀងផ្ទាត់ណាមួយបង្កើនសិទ្ធិរបស់ពួកគេចំពោះអ្នកប្រើប្រាស់ផ្សេងទៀតនៅលើវេបសាយ WordPress”។

អ្នកស្រាវជ្រាវ Patchstack ពន្យល់បន្ថែមទៀតថា តាមរយៈការបំពានភាពងាយរងគ្រោះនេះ អ្នកវាយប្រហារអាចកំណត់ពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ឡើងវិញដោយគ្រាន់តែស្គាល់ឈ្មោះរបស់ពួកគេ។ ដោយការអនុវត្តបែបនេះ អ្នកវាយប្រហារអាចទទួលសិទ្ធិចូលប្រើប្រាស់គណនីអ្នកប្រើប្រាស់ដោយមិនមានការអនុញ្ញាតទៅកាន់គណនីរបស់អ្នកប្រើប្រាស់រួមទាំងអ្នកប្រើប្រាស់ទាំងឡាយណាដែលមានសិទ្ធិគ្រប់គ្រងផងដែរ។

ក្រុមហ៊ុន​​បញ្ជាក់​ថា ​កំហុសនោះ​ត្រូវ​​ដោះស្រាយ​ក្នុង​កំណែ 5.7.2 ដែល​​ចេញ​ផ្សាយកាលពី​ថ្ងៃ​ទី11 ខែ​ឧសភា នៅរយៈពេលប៉ុន្មាន​ថ្ងៃ​បន្ទាប់​ពីក្រុមហ៊ុន Patchstack ​ទាក់ទងទៅ​អ្នក​លក់​កម្មវិធី​ជំនួយ​នៅ​ថ្ងៃ​ទី8 ខែ​ឧសភា។  ស្របពេលជាមួយគ្នានោះដែរ។ ក្រុមហ៊ុន Patchstack បញ្ជាក់ថា កម្មវិធីនោះអាចមានភាពងាយរងគ្រោះច្រើន ហើយភាពងាយរងគ្រោះថ្មីអាចកើតឡើងបន្ថែមទៀតនៅពេលអនាគត។

ដើម្បីទប់ស្កាត់បញ្ហានេះ អ្នកគ្រប់គ្រងប្រព័ន្ធគួរតែអនុវត្តស្រទាប់សុវត្ថិភាពបន្ថែមទៀតដោយក្នុងនោះមានដូចជាការគ្រប់គ្រងលើការចូលប្រើប្រាស់ ពិនិត្យ និងប្រើប្រាស់មុខងារដូចជា check_password_reset_key ដែលផ្ទៀងផ្ទាត់សុពលភាព និងការផុតកំណត់នៃសោកំណត់ពាក្យសម្ងាត់ឡើងវិញ ដើម្បីធានាដល់ដំណើរការកំណត់ពាក្យសម្ងាត់ឡើងវិញប្រកបដោយសុវត្ថិភាព៕

ប្រភព infosecurity ចុះផ្សាយឡើងវិញថ្ងៃទី១៥ ខែឧសភា ឆ្នាំ២០២៣

LEAVE A REPLY

Please enter your comment!
Please enter your name here