ຄວາມສ່ຽງຮ້າຍແຮງຂອງ WooCommerce Plugin ສ່ຽງເວັບໄຊ WordPress ຖືກເຈາະລະບົບ

WooCommerce

Simon Scannell ນັກວິໄຈດ້ານຄວາມຫມັ້ນຄົງປອດໄພຈາກ RIPS Technologies GmbH

ອອກມາແຈ້ງເຕືອນເຖິງຄວາມສ່ຽງຮ້າຍແຮງ Arbitrary File Deletion ຢູ່ Plugin ສໍາຫລັບ eCommerce ຍອດນິຍົມຂອງ WooCommerce ຊ່ວຍໃຫ້ແຮັກເກີສາມາດເຂົ້າຄວບຄຸມເວັບໄຊ WordPress ທີ່ບໍ່ໄດ້ມີການອັບເດດໄດ້

WooCommerce ເປັນຫນຶ່ງໃນ eCommerce Plugin ຍອດນິຍົມສໍາຫລັບ WordPress ຊ່ວຍໃຫ້ຜູ້ເບິ່ງແຍ່ງລະບົບສາມາດອັບເກດຈາກເວັບ Blog ມາດຕະຖານທົ່ວໄປກາຍເປັນເວັບໄຊສໍາຫລັບໃຫ້ຄົນມາເປີດຮ້ານຂາຍຂອງອອນລາຍໄດ້, ປັດຈຸບັນນີ້ມີເວັບຂາຍຂອງອອນລາຍທີ່ໃຊ້ WooCommerce ຫລາຍເຖິງ 35 % ຫລື ຄິດເປັນເວັບໄຊປະມານ 4,000,000 ເວັບໄຊທົ່ວໂລກ

ການຕິດຕັ້ງ Plugin ລະບົບຈະສ້າງບັນຊີ “Shop Manager” ຂຶ້ນມາພ້ອມຄຸນສົມບັດ “edit_users” ເພື່ອໃຫ້ເຈົ້າຂອງຮ້ານຄ້າສາມາດແກ້ໄຂບັນຊີຂອງລູກຄ້າໃນຮ້ານ ເພື່ອບໍລິຫານຈັດການການສັ່ງຊື້, ໂປໄຟຣ ແລະ ຜະລິດພັນຕ່າງໆໄດ້, ເຖິງຢ່າງໃດກໍ່ຕາມບັນຊີຂອງ WordPress ທີ່ມີຄຸນສົມບັດ “edit_users” ໂດຍ Default ເຮັດໄດ້ແມ້ກະທັ່ງແກ້ໄຂບັນຊີຂອງ Admin ເພື່ອລີເຊັດລະຫັດຜ່ານ ແຕ່ເພື່ອບໍ່ໃຫ້ມີບັນຫານີ້ເກີດຂຶ້ນ WooCommerce Plugin ຈຶ່ງໄດ້ໃສ່ຂໍ້ຈໍາກັດ ໄດ້ວາງຂໍ້ຈໍາກັດບາງຢ່າງກ່ຽວກັບບັນຊີຜູ້ຈັດການບໍລິການຮ້ານເພື່ອບໍ່ຄັດແຍງກັບບັນຊີຜູ້ບໍລິຫານ

ຄະນະທີ່ Scannell ພົບວ່າຖ້າ Admin ຂອງ WordPress ກົດຍົກເລີກການໃຊ້ WooCommerce Plugin ຈະເຮັດໃຫ້ຂໍ້ຈໍາກັດທີ່ກ່າວໄປນັ້ນ ລຶບໄປທັນທີສົ່ງຜົນໃຫ້ບັນຊີ Shop Manager ສາມາດແກ້ໄຂ ແລະ ລີເຊັດລະຫັດຜ່ານຂອງບັນຊີ Admin ໄດ້

ເທົ່ານີ້ກະບໍ່ເກີດບັນຫາໃຫຍ່ໂຕຫລາຍ ເນື່ອງຈາກ Admin ຄືຊິບໍ່ໄປກົດປິດ Plugin ແນ່ນອນ, ແຕ່ Scannell ກັບຄົ້ນເຫັນອີກວ່າ Shop Manager ສາມາດບັງຄັບໃຫ້ປິດການໃຊ້ WooCommerce Plugin ໄດ້ ຜ່ານທາງການໂຈມຕີຊ່ອງໂຫວ່ Arbitrary File Deletion ທີ່ຢູ່ໃນຟີເຈີ Logging ຢູ່ Plugin ດັງກ່າວ ສົ່ງຜົນໃຫ້ Shop Manager ສາມາດແກ້ໄຂລະຫັດຜ່ານຂອງ Admin ແລ້ວເຂົ້າຍຶດເວັບໄຊນັ້ນໆ ໄດ້ທັນທີ

Scannell ໄດ້ລາຍວຽກຊ່ອງໂຫວ່ນີ້ໄປຍັງທີມຮັກສາຄວາມປອດໄພຂອງ Automattic ເຈົ້າຂອງ WooCommerce Plugin ວັນທີ່ 30 ສິງຫາ 2018 ເຊິງທາງທີມກະຮັບຮູ້ບັນຫາ ແລະ ອອກແພັກອັບເດດເພື່ອປິດຄວາມສ່ຽງຮ້າຍແຮງຂອງ WooCommerce ເວີຊັນ 3.4.6 ຂອງເດືອນແລ້ວນີ້ ກ່ອນຈະເປີດເຜີຍລາຍລະອຽດນີ້ ໃຫ້ຮູ້ທາງສາທາລະນະແນະນໍາໃຫ້ຜູ້ເບິ່ງແຍ່ງລະບົບ WordPress ທີ່ມີການຕິດຕັ້ງ WooCommerce Plugin ໃຫ້ອັບເດດເປັນເວີຊັນຫຼ້າສຸດໂດຍດ່ວນ

ທີ່ມາຂອງຂ່າວ: https://thehackernews.com

Comments

comments

Admin

ສອນ: ອອກແບບ ແລະ ພັດທະນາເວັບໄຊ - ສົນໃຈຮຽນຕິດຕໍ່ໄດ້ເບີໂທ: 020 5955 5686

Read Previous

Drupal ປັບປຸງຄວາມປອດໄພ

Read Next

ຄວາມສ່ຽງຮ້າຍແຮງ Zero-day ຢູ່ WP GDPR ຂອງ WordPress