ចំណុចរងគ្រោះនៃ Unpatched DoS អាចជួយឱ្យហេគឃ័រធ្វើការហេគចូលទៅកាន់វេបសាយ WordPress បាន

0

ភាពទន់ខ្សោយមួយទៅលើចំណុចរងគ្រោះនៃ denial of service (DoS) ត្រូវរកឃើញនៅលើ WordPress CMS platform ដែលអនុញ្ញាតឱ្យអ្នកណាក៏ដោយធ្វើការចូលទៅហេគទៅលើវេបសាយ WordPress websites បាន។ ចាប់តាំងពីក្រុមហ៊ុននេះបដិសេធមិនធ្វើការ Patch ទៅលើបញ្ហានេះ ចំណុចរងគ្រោះ (CVE-2018-6389) នៅតែមិនទាន់ធ្វើការ Unpatch ហើយវាឆ្លងទៅកាន់ Versions ជាច្រើននៃ WordPress កាលពី 9 ឆ្នាំមុននេះរួមមាននូវ WordPress (Version 4.9.2) ជំនាន់ចុងក្រោយបំផុតផងដែរ។

នៅក្នុងការរកឃើញរបស់អ្នកស្រាវជ្រាវ Barak Tawily របស់ក្រុមហ៊ុនអ៊ីស្រាអែលបញ្ជាក់ថា ចំណុចរងគ្រោះនេះស្ថិតនៅក្នុង “load-scripts.php” ដែលជា Script នៅក្នុង WordPress CMS ។ សម្រាប់ load-scripts.php file ត្រូវធ្វើការរចនាឡើងសម្រាប់ Admin Users ដើម្បីជួយពង្រឹងទៅលើសមត្ថភាពនៃវេបសាយ និងការពង្រឹងល្បឿននៃ Load Page ដែលស្ថិតនៅក្នុង JavaScript files នោះ។

ទោះជាយ៉ាងណាក៏ដោយ ដើម្បីឱ្យ “load-scripts.php” ដំណើរការនៅលើ admin login page (wp-login.php) នៅមុនពេលធ្វើការ Login នោះ WordPress authors មិនធ្វើការផ្ទៀតផ្ទាត់ពីភាពត្រឹមត្រូវនោះទេ។

ផ្អែកទៅលើ plugins និង modules ដែលអ្នកធ្វើការតម្លើងរួចហើយនោះ នៅក្នុង load-scripts.php file ទាមទារឱ្យ JavaScript files ប្រើប្រាស់នូវ URL:

https://your-wordpress-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery ហើយនៅពេលដែលធ្វើការដំណើរការនៅលើវេបសាយនោះ ‘load-scripts.php’ នឹងធ្វើការស្វែងរកឈ្មោះនៅក្នុង JavaScript file តាមរយៈ URL នេះ ហើយវាក៏ផ្ញើទៅកាន់ Web Browser របស់អ្នកប្រើប្រាស់៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here