១. ព័ត៌មានទូទៅ
អ្នកស្រាវជ្រាវសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមកពី RIPS Technologies GmbH បានរកឃើញនូវចំនុច ខ្សោយធ្ងន់ធ្ងរបំផុតមួយនៅក្នុងប្រព័ន្ធគ្រប់គ្រងវេបសាយឥតគិតថ្លៃ និងប្រភពកូដចំហរ (open-source) ដែលយើងស្គាល់ថា WordPress ។
អ្នកវាយប្រហារ ឬក៏អ្នកនិពន្ធដែលមានសិទ្ធិជា “author” ឬក៏គណនីដែលមានសិទ្ធិខ្ពស់ជាងនេះ អាចធ្វើការវាយលុកចូលទៅក្នុងប្រព័ន្ធ WordPress ដោយប្រើប្រាស់ចំនុចខ្សោយពីរបញ្ចូលគ្នាគឺ Path Traversal និង Local File Inclusion ដែលអាចឈានទៅដល់ការដំណើរការកូដពីចំងាយ (Remote Code Execution) បាន។
២. កំណែ ឬជំនាន់ដែលរងគ្រោះ
អ្នកដែលប្រើប្រាស់ WordPress កំណែទី 5.0.2 ឬក្រោមនេះ
កំណត់សំគាល់ៈ ការជួសជុលកំហុសឆ្គងនៅក្នុងកំណែ WordPress 4.9.9 និង 5.0.1 គឺបានបង្កាមិនឲ្យមានការវាយលុកទៅលើចំនុចខ្សោយទាំងពីរនេះ។ ក៏ប៉ុន្តែ ចំនុចខ្សោយ Path Traversal នៅតែអាចវាយលុកបានដដែលបើសិនជាមាន plugins ដទៃទៀតត្រូវបានតម្លើង ហើយមានគ្រប់គ្រងមិនបានត្រឹមត្រូវទៅលើ Post Meta។
៣. ផលប៉ៈពាល់
ការវាយលុកដោយជោគជ័យ នឹងអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើវេបសាយដំណើរការដោយ WordPress។
៤. ដំណោះស្រាយ
អភិបាលគ្រប់គ្រងវេបសាយត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ Version 5.0.3 ជាបន្ទាន់ ហើយតាមដានបន្តដើម្បីធ្វើការអាប់ដេត ទៅលើកំណែថ្មី WordPress ដែលនឹងធ្វើការជួសជុលទៅលើចំនុចខ្សោយទាំងនេះ។
៥. វេបសាយពាក់ព័ន្ធ
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
