ช่องโหว่การยืนยันตัวตนที่มีความรุนแรงสูง ถูกค้นพบในปลั๊กอิน Really Simple Security ทั้งเวอร์ชันฟรีและ Pro ส่งผลกระทบต่อเว็บไซต์ WordPress กว่า 4 ล้านเว็บ
ช่องโหว่ดังกล่าวมีรหัส CVE-2024-10924 มีความรุนแรงระดับ Critical ถูกค้นพบโดยนักวิจัยด้านความมั่นคงปลอดภัยจาก Wordfence เมื่อวันที่ 6 พฤศจิกายน 2024 สาเหตุเกิดจากการจัดการการยืนยันตัวตนผู้ใช้งานที่ไม่เหมาะสมในส่วน Two-factor REST API ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งานใด ๆ รวมถึงบัญชีผู้ดูแลระบบได้โดยไม่ต้องยืนยันตัวตน โดยปัญหานี้จะเกิดขึ้นเมื่อเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (2FA)
ผู้พัฒนาได้แก้ไขช่องโหว่นี้แล้วในเวอร์ชัน 9.1.2 ซึ่งเปิดตัวเมื่อวันที่ 12 พฤศจิกายน สำหรับเวอร์ชัน Pro และวันที่ 14 พฤศจิกายนสำหรับเวอร์ชันฟรี อย่างไรก็ตาม จากสถิติของ WordPress.org พบว่ามีการอัปเดตเพียง 450,000 ครั้ง ทำให้ยังมีเว็บไซต์ที่มีความเสี่ยงอีกกว่า 3.5 ล้านเว็บ ผู้ดูแลระบบควรตรวจสอบและอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดโดยเร็ว
———————————————————————————————————————————————————————————
ที่มา : Techtalkthai / วันที่เผยแพร่ 18 พ.ย.67
Link : https://www.techtalkthai.com/critical-vulnerability-found-in-really-simple-security-wordpress-plugin/
