มีการเปิดเผยช่องโหว่ใหม่ในชุดปลั๊กอิน WordPress ปลั๊กอิน WordPress โพสต์ที่ผู้ใช้ส่งมาให้ผู้ใช้อัปโหลดโพสต์และรูปภาพจากคุณสมบัติส่วนหน้า ปลั๊กอินโพสต์ที่ผู้ใช้ส่งปลั๊กอิน WordPress นี้มีการติดตั้งมากกว่า 30,000 ครั้ง เป็นที่นิยมอย่างมากในขณะนั้นพบช่องโหว่ในการอัปโหลดไฟล์โดยพลการอย่างร้ายแรง เรียนรู้เพิ่มเติมเกี่ยวกับรายละเอียดของผู้ใช้ส่งโพสต์หาประโยชน์ ในบทความนี้
เว็บไซต์ของคุณถูกแฮ็กหรือไม่ ส่งข้อความถึงเราที่นี่หรือแชทกับเราตอนนี้ เรายินดีที่จะช่วยเหลือคุณ ?
รายละเอียดทางเทคนิค:ผู้ใช้ส่งบทความไปใช้ประโยชน์
เวอร์ชันก่อนหน้า &เท่ากับ 20190426 เสี่ยงต่อการอัปโหลดไฟล์โดยพลการ อนุญาตให้ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์บนเซิร์ฟเวอร์ apache ที่มี PHP FastCGI อัปโหลดและเรียกใช้สคริปต์ PHP ในคุณสมบัติ 'การอัปโหลดรูปภาพ' ซึ่งควรจะอนุญาตให้ใช้ไฟล์ภาพเท่านั้น ปรากฎว่าหากส่วนขยายที่ไม่อยู่ในบัญชีดำร่วมกับส่วนขยายที่อนุญาตพิเศษ ระบบตรวจสอบความถูกต้องของปลั๊กอินนี้ถูกหลอก เพื่อให้ชัดเจนยิ่งขึ้น หากคุณสามารถอำพรางนามสกุล .php ด้วย .jpg ไฟล์นั้นจะไม่ถูกทำให้สะอาดและได้รับการตรวจสอบ นี่คือตัวอย่าง script.php.gif เนื่องจากนามสกุล .php ถูกปลอมแปลงเป็นไฟล์รูปภาพ จึงจะผ่านการตรวจสอบความปลอดภัยและจะดำเนินการได้ในที่สุด ซึ่งอาจส่งผลให้ไฟล์ที่เป็นอันตรายเข้าถึงฐานข้อมูลของคุณหรือเป็นอันตรายต่อความเป็นส่วนตัวของข้อมูลที่ละเอียดอ่อนบนเว็บไซต์ของคุณ เว็บไซต์ของคุณถูกแฮ็กหรือไม่ ส่งข้อความถึงเราที่นี่หรือแชทกับเราตอนนี้ เรายินดีที่จะช่วยเหลือคุณ ?
มาตรการป้องกัน:โพสต์ที่ผู้ใช้ส่งหาประโยชน์
ช่องโหว่ได้รับการแก้ไขแล้วในเวอร์ชันที่ประสบความสำเร็จ 20190426 อัปเดตเป็นเวอร์ชันแพตช์โดยเร็วที่สุด เนื่องจากขณะนี้ช่องโหว่ดังกล่าวได้รับการเปิดเผยต่อสาธารณะแล้ว การใช้เวอร์ชันที่เก่ากว่าสามารถพิสูจน์ได้ว่าเป็นอันตราย หากต้องการเพิ่มความปลอดภัยให้กับเว็บไซต์ของคุณ ให้ติดตั้งไฟร์วอลล์แอปพลิเคชันเว็บบนเว็บไซต์ของคุณ Astra Web Security นำเสนอระบบการตรวจสอบอย่างต่อเนื่องเช่น WAF (ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน) ซึ่งปกป้องเว็บไซต์ของคุณจากการอัปโหลดไฟล์โดยพลการ, SQLi, XSS, CSRF, บอทที่ไม่ดี และภัยคุกคามทางไซเบอร์อื่นๆ อีกกว่า 100 รายการ
รับการสาธิต Astra ตอนนี้!
