ភាពងាយរងគ្រោះដ៏ធ្ងន់ធ្ងរមួយត្រូវរកឃើញនៅលើ WooCommerce WordPress Plugin

0

ប្រសិនបើអ្នកកំពុងតែគ្រប់គ្រងនូវគេហទំព័រ eCommerce ដែលប្រើប្រាស់នូវ WordPress រួមជាមួយនឹងការដំណើរការនូវ WooCommerce plugin នោះ អ្នកត្រូវយល់ដឹងអំពីភាពងាយស្រួលរងគ្រោះដ៏ធ្ងន់ធ្ងរមួយដែលអាចជះឥទ្ធិពលនៅលើហាងអនឡាញរបស់អ្នកបាន។ លោក Simon Scannell អ្នកស្រាវជ្រាវនៅក្នុងក្រុមហ៊ុនបច្ចេកវិទ្យា RIPS Technologies GmbH រកឃើញនូវកំហុសឆ្គងដ៏ធ្ងន់ធ្ងរមួយនៅក្នុង WooCommerce plugin ដ៏ពេញនិយមដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ពីខាងក្រៅអាចធ្វើការគ្រប់គ្រងទៅលើគេហទំព័របាន។

WooCommerce គឺជា Plugins មួយនៅក្នុងចំណោម eCommerce plugins ដ៏ពេញនិយមបំផុតសម្រាប់គេហទំព័រ WordPress ដែលជួយគេហទំព័រជាច្រើនក្នុងការ Upgrades ទៅលើស្តង់ដារនៃប្លុករបស់ពួកគេសម្រាប់ក្លាយជាហាងទំនិញអនឡាញមួយដ៏ខ្លាំងក្លា។ សម្រាប់ WooCommerce គឺគ្រប់គ្រងទៅលើហាង E-Stores ច្រើនជាង 35% នៅលើអ៊ីនធើណិតដែលច្រើនជាងការតម្លើង 4 លានដង។

ការវាយប្រហារគឺបង្ហាញនៅក្នុងវីដេអូខាងក្រោមនេះដែល WordPress គ្រប់គ្រងទៅលើសិទ្ធិនៃអ្នកប្រើប្រាស់ និងទិន្នន័យ WooCommerce file  ដែលអនុញ្ញាតឱ្យគណនីជាមួយនឹងតួនាទីជា “Shop Manager”  អាចធ្វើការ Reset ទៅលើ Password របស់គណនី Administrators និងការគ្រប់គ្រងពេញលេញនៅលើគេហទំព័រនេះតែម្តង។

នៅពេលដែលតម្លើងនោះ WooCommerce extension ​ធ្វើការបង្កើតនូវ “Shop Managers” accounts ជាមួយនឹង “edit_users”​ ដែលអនុញ្ញាតឱ្យពួកគេធ្វើការកែប្រែទៅលើ Accounts របស់អតិថិជននៅក្នុងហាងដូចជាការកម្មង់ទិញ Profiles និងផលិតផលជាច្រើនទៀត។ នៅក្នុង WordPress សម្រាប់គណនីជាមួយនឹង “edit_users” អនុញ្ញាតឱ្យធ្វើការកែប្រែទៅលើ Administrator Account និងការ Reset ទៅលើ  Password បាន។

អ្នកស្រាវជ្រាវធ្វើការរាយការណ៍បញ្ហាសុវត្ថិភាពនេះទៅកាន់ក្រុមសុវត្ថិភាព Automattic ដែលគ្រប់គ្រងទៅលើ WooCommerce plugin តាមរយៈ Hackerone  នៅថ្ងៃទី ៣០ ខែសីហា ឆ្នាំ ២០១៨ នេះ។ ក្រុមនេះទទួលស្គាល់ទៅលើកំហុសឆ្គងនេះ និងធ្វើការដោះស្រាយពួកវាតាមរយៈការបញ្ចេញនូវ Woocommerce version 3.4.6 កាលពីខែមុននេះ។ ប្រសិនបើអ្នកនៅមិនទាន់ធ្វើការ Update ទៅលើ WordPress និង Woocommerce​ នោះទេ អ្នកត្រូវធ្វើការអាប់ដេតអោយបានឆាប់បំផុតទៅកាន់ជំនាន់ចុងក្រោយ៕

ប្រភព៖

https://thehackernews.com/2018/11/woocommerce-wordpress-hacking.html

LEAVE A REPLY

Please enter your comment!
Please enter your name here