WordPress ចេញផ្សាយ Patch សុវត្ថិភាពសម្រាប់កម្មវិធីរបស់ខ្លួន ការជួសជុលភាពងាយរងគ្រោះ នៅក្នុង version 5.0.1។ មួយក្នុងចំណោម search engine វាអនុញ្ញាតឱ្យម៉ាស៊ីនស្វែងរកសូម្បីតែ email address និងពាក្យសម្ងាត់។ការធ្វើបច្ចុប្បន្នភាពនេះមកនៅលើ WordPress 5.0 ‘Bebo’ នៅថ្ងៃទី៦ ខែធ្នូ។
អ៊ីម៉ែល និងពាក្យសម្ងាត់នៅក្នុងលទ្ធផលស្វែងរក
ការលេចធ្លាយភាពឯកជននេះគឺអាចធ្វើទៅក្រោមការកំណត់ជាក់លាក់ដែលអនុញ្ញាតឱ្យថតចម្លង ទិន្នន័យអ្នកប្រើប្រាស់ទុកនៅលើអេក្រង់សកម្មភាពអ្នកប្រើ។ វាគួរតែត្រូវកត់សម្គាល់ថា ការកំណត់ជាក់លាក់សម្រាប់ការកើតឡើងនេះគឺមិនធម្មតាទេ ហើយពាក្យសម្ងាត់ ដែលបង្កើតដោយ លំនាំដើមត្រូវបង្ហាញតែនៅក្នុងករណីដ៏កម្រ។ ឥណទានដែលរកឃើញត្រូវក្រុម Yoast អ្នកបង្កើតកម្មវិធីជំនួយ SEO ចូលដោយសារមានឈ្មោះដូចគ្នា។
ដោយសារភាពងាយរងគ្រោះអ្នកណាម្នាក់ដែលប្រើសំណួរពិសេសនៅក្នុងម៉ាស៊ីនស្វែងរកអាចរក ឃើញយ៉ាងហោចណាស់អាសយដ្ឋាន អ៊ីម៉ែល ដែលអាចត្រូវប្រើបន្ថែមទៀត សម្រាប់ការក្លែងបន្លំ ឬសារឥតការ។ ប្រសិនបើពួកវាជាកម្មសិទ្ធិរបស់អ្នកគ្រប់គ្រងវេបសាយ ឬអ្នកដែលមានសិទ្ធិខ្ពស់ ជាងនោះផលវិបាកអាចនាំឱ្យមានការគ្រប់គ្រងគេហទំព័រ ឬប្រើវាដើម្បីផ្ទុក/ ឬចែកចាយមេរោគ។
កំហុសឆ្គងស្គ្រីបឆ្លងតំបន់បណ្តាញ (Cross-site)
លោក Tim Coen រាយការណ៍អំពីកំហុសចំនួនបី។ មួយ គឺភាពងាយរងគ្រោះស្គ្រីបឆ្លងតំបន់បណ្តាញ (XSS) ដែលអាចប៉ះពាល់ដល់កម្មវិធីជំនួយនៅក្នុង ស្ថានភាពមួយចំនួន។ ផ្សេងទៀតសំដៅលើអ្នកប្រើដែលមានសិទ្ធិចូលរួមដែលអាចកែមតិពីអ្នកប្រើ ដែលមានសិទ្ធិកាន់តែច្រើន។ ហានិភ័យមានសក្តានុពលក៏ជាកំហុស XSS ។
លោក Coen រួមជាមួយ នឹងអ្នកស្រាវជ្រាវម្នាក់ឈ្មោះ Slavco (https://medium.com/websec) រាយការណ៍អំពីភាពងាយ រងគ្រោះមួយផ្សេងទៀត នៅក្នុងប្រភេទដូចគ្នា។ ពួកគេរកឃើញថា “អ្នកនិពន្ធនៅលើតំបន់ បណ្ដាញបង្ហោះ Apache អាចផ្ទុកឡើងនូវឯកសារពិសេសដែលហួសពីការផ្ទៀងផ្ទាត់ MIME” ដែល បញ្ចប់ដោយ XSS ។ ការផ្ទៀងផ្ទាត់ប្រភេទមាតិកា MIME មិនមានវត្តមានទេ មុនពេល WordPress 5.0.1 ដែលអនុញ្ញាតឱ្យផ្ទុកឯកសារឡើងជាមួយផ្នែកបន្ថែមផ្សេងពីមាតិការបស់ពួកគេ។
“ឧទាហរណ៍ ឯកសារគោលពីរអាចត្រូវផ្ទុកឡើងដោយផ្នែកបន្ថែម .jpg ប៉ុន្តែការរឹតបន្តឹងចុង ក្រោយបង្ការនេះ” ។ លោក Ian Dunn អ្នកអភិវឌ្ឍ WordPress និងជាអ្នកចែកចាយពេញម៉ោង និយាយនៅក្នុងប្រកាសប្លក់ដែលប្រកាសពីភាពឆបគ្នាពេញលេញនៅក្នុងកំណែ 5.0 .1 គឺមិនអាចធ្វើទៅទេ។ WordPress 5.0.1 ក៏ដោះស្រាយបញ្ហា ដែលអនុញ្ញាតឱ្យអ្នករួមចំណែកក្នុងការផ្លាស់ប្តូរទិន្នន័យ Meta និងលុបឯកសារដោយគ្មានការអនុញ្ញាត។ លោក Karim El Ouerghemmi រកឃើញបញ្ហានេះ ដែលមានឫសគល់ពីភាពងាយរងគ្រោះនៃការលុបឯកសារចាស់ៗចំនួនពីរដែលកំណត់ក្នុង WordPress 4.9.6, Defiant, អ្នកបង្កើតកម្មវិធីជំនួយសុវត្ថិភាព WordFence ៕
ប្រភព៖
https://www.bleepingcomputer.com/news/security/wordpress-security-patch-addresses-privacy-leak-bug/
