มีการตรวจพบช่องโหว่บนปลั๊กอิน WP Live Chat ของ WordPress รหัส CVE-2019-12498 ซึ่งเป็นปลั๊กอิน Live Chat ที่มีธุรกิจกว่า 50,000 รายใช้งานเพื่อเป็นช่องทางในการแชทกับลูกค้าหรือผู้เข้าเยี่ยมชมเว็บไซต์ โดยนักวิจัยด้านความมั่นคงปลอดภัยจาก Alert Logic ได้เปิดเผยว่าช่องโหว่ดังกล่าวเสี่ยงอาจถูกแฮ็กเกอร์โจมตีจากระยะไกลเพื่อขโมยบันทึกการสนทนา หรือไฮแจ็กเซสชันที่ใช้สนทนาได้
ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถเข้าถึงส่วน REST API endpoints ได้ แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้าถึงบันทึกการแชทที่เก็บไว้ทั้งหมดได้ จะสามารถขโมยประวัติการสนทนาของทุกเซสชันการแชทได้ทั้งหมด แก้ไขหรือลบประวัติการสนทนา แทรกข้อความลงไปในเซสชันแชทที่กำลังเปิดใช้งานอยู่ เพื่อปลอมเป็นทีมซัพพอร์ตของเจ้าของเว็บไซต์ รวมถึงบังคับปิดเซสชันแชทที่กำลังดำเนินอยู่ ก่อให้เกิดการโจมตีแบบ Denial of Service (DoS)
เรียกได้ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical หรือเข้าขั้นวิกฤตกันเลยทีเดียว ส่งผลกระทบต่อเว็บไซต์ WordPress และผู้เยี่ยมชมที่มีการใช้ WP Live Caht Support เวอร์ชั่น 8.0.32 ลงไป แต่ล่าสุดทีมนักวิจัยได้แจ้งรายละเอียดเกี่ยวกับช่องโหว่ไปยังทีมนักพัฒนาปลั๊กอิน Live Chat ของ WordPress แล้ว และตอนนี้ก็ได้มีการออกแพตช์เวอร์ชันใหม่เพื่ออุดช่องโหว่ดังกล่าวเรียบร้อย
สำหรับวิธีการป้องกัน แนะนำให้ทำการอัพเดทปลั๊กอิน WP Live Chat ให้เป็นเวอร์ชั่นล่าสุดคือ เวอร์ชั่น 8.0.34 เพื่อเป็นการป้องกันปัญหาช่องโหว่นี้ และสามารถอ่านรายละเอียดการโจมตีดังกล่าวได้ที่ Alert Logic
Credit : the hacker news
Facebook Comments