March 18, 2019

Language:

CamSA19-10: ចំនុចខ្សោយធ្ងន់ធ្ងរបំផុត និងការចេញផ្សាយការអាប់ដេត WordPress ទៅកំណែ ៥.‌១.១

១. ព័ត៌មានទូទៅ

អ្នកស្រាវជ្រាវសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមកពី RIPS Technologies GmbH បានរកឃើញនូវចំនុចខ្សោយ​ធ្ងន់ធ្ងរបំផុតមួយនៅក្នុងប្រព័ន្ធគ្រប់គ្រងវេបសាយឥតគិតថ្លៃ និងប្រភពកូដចំហរ (open-source) ដែលយើងស្គាល់ថា WordPress ។

អ្នកវាយប្រហារ ឬក៏អ្នកនិពន្ធដែលមានសិទ្ធិជា “author” ឬក៏គណនីដែលមានសិទ្ធិខ្ពស់ជាងនេះ អាចធ្វើការវាយលុក​ចូល​ទៅក្នុងប្រព័ន្ធ​ WordPress តាមការវាយប្រហារលើចំនុចខ្សោយ Cross-Site Request Forgery (CSRF) ដោយ​គ្រាន់តែ​បញ្ជោតអភិបាលគ្រប់គ្រងវេបសាយ WordPress ឱ្យបើកវេបសាយដែលបានបង្កប់កូដវាយប្រហារនឹងអាចឈាន​ទៅដល់​ការដំណើរការកូដពីចំងាយ (Remote Code Execution) បាន។

២. កំណែ ឬជំនាន់ដែលរងគ្រោះ

អ្នកដែលប្រើប្រាស់ WordPress កំណែទី 5.1 ឬក្រោមនេះ

៣. ផលប៉ៈពាល់

ការវាយលុកដោយជោគជ័យ នឹងអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុង​ទៅ​លើវេបសាយដំណើរការដោយ WordPress។

៤. ដំណោះស្រាយ

អភិបាលគ្រប់គ្រងវេបសាយត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ Version 5.1.1 ជាបន្ទាន់ ហើយតាមដានបន្ត​ដើម្បីធ្វើការអាប់ដេត ទៅលើកំណែថ្មី WordPress ដែលនឹងធ្វើការជួសជុលទៅលើចំនុចខ្សោយទាំងនេះ។

៥. វេបសាយពាក់ព័ន្ធ

  • https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
  • https://blog.ripstech.com/2019/wordpress-csrf-to-rce/