Marketing

WordPress 5.8.1 ออกเพื่อแก้ไขช่องโหว่หลายจุด

WordPress ประกาศเปิดตัวการรักษาความปลอดภัยและการบำรุงรักษา เวอร์ชัน 5.8.1 การอัปเดต WordPress เป็นสิ่งสำคัญ โดยเฉพาะเวอร์ชัน 5.4 ถึง 5.8 เพื่อแก้ไขปัญหาด้านความปลอดภัยสามประการ WordPress 5.8.1 เวอร์ชันความปลอดภัยและการบำรุงรักษา ไม่ใช่เรื่องแปลกสำหรับ WordPress หรือซอฟต์แวร์ใดๆ ที่จะเผยแพร่การอัปเดตการแก้ไขข้อบกพร่องหลังจากอัปเดตเวอร์ชันหลักเพื่อแก้ไขปัญหาที่ไม่คาดฝันรวมถึงแนะนำการปรับปรุงที่ไม่ได้ดำเนินการทันเวลา การเปิดตัวครั้งสำคัญ ใน WordPress การอัปเดตเหล่านั้นเรียกว่ารุ่นบำรุงรักษา การอัปเดตนี้ยังรวมถึงการอัปเดตความปลอดภัย ซึ่งค่อนข้างแปลกสำหรับแกนหลักของ WordPress นั่นทำให้การอัปเดตนี้มีความสำคัญมากกว่ารุ่นการบำรุงรักษาทั่วไป อ่านต่อไป ด้านล่างของปัญหาด้านความปลอดภัยของ WordPress แก้ไข WordPress 5.8.1 แก้ไขช่องโหว่สามรายการ: ช่องโหว่การเปิดเผยข้อมูลภายในช่องโหว่ REST API Cross-Site Scripting (XSS) ในตัวแก้ไขบล็อก Gutenberg ช่องโหว่ที่สำคัญถึงช่องโหว่หลายจุดในไลบรารี Lodash JavaScript ทั้ง 3 รายการ ของช่องโหว่ข้างต้นนั้นเกี่ยวข้องกับการประกาศของ WordPress แนะนำให้อัปเดตการติดตั้ง WordPress ทันที ช่องโหว่ REST API WordPress REST API เป็นอินเทอร์เฟซที่ช่วยให้ปลั๊กอินและธีมสามารถโต้ตอบกับแกนหลักของ WordPress ได้ REST API เป็นแหล่งที่มาของช่องโหว่ด้านความปลอดภัย รวมถึงช่องโหว่ Gutenberg Template Library และ Redux Framework ล่าสุดที่ส่งผลกระทบต่อเว็บไซต์กว่าล้านแห่ง อ่านต่อไปด้านล่าง ช่องโหว่นี้อธิบายว่าเป็นช่องโหว่การเปิดเผยข้อมูล ซึ่งหมายความว่าข้อมูลที่ละเอียดอ่อนสามารถเปิดเผยได้ ขณะนี้ยังไม่มีรายละเอียดอื่นๆ เกี่ยวกับข้อมูลประเภทใด แต่อาจรุนแรงพอๆ กับรหัสผ่านของข้อมูลที่สามารถใช้เพื่อโจมตีผ่านช่องโหว่อื่นได้ ช่องโหว่ Cross-Site Scripting (XSS) ของ WordPress Gutenberg XSS เกิดขึ้นค่อนข้างบ่อย สิ่งเหล่านี้สามารถเกิดขึ้นได้ทุกครั้งที่มีการป้อนข้อมูลของผู้ใช้ เช่น แบบฟอร์มติดต่อหรืออีเมล การป้อนข้อมูลใดๆ ที่ไม่ถูก “ฆ่าเชื้อ” เพื่อป้องกันการอัปโหลดสคริปต์ที่อาจทำให้เกิดพฤติกรรมที่ไม่ต้องการในการติดตั้ง WordPress โครงการ Open Web Application Security (OWASP) อธิบายถึงอันตรายที่อาจเกิดขึ้นจากช่องโหว่ XSS: “ผู้โจมตีสามารถใช้ XSS เพื่อส่งสคริปต์ที่เป็นอันตรายไปยังผู้ใช้ที่ไม่สงสัย เบราว์เซอร์ของผู้ใช้ปลายทางไม่มีทางรู้ได้ว่าสคริปต์ไม่ควรเชื่อถือได้ และจะรันสคริปต์ เนื่องจากคิดว่าสคริปต์มาจากแหล่งที่เชื่อถือได้ สคริปต์ที่เป็นอันตรายจึงสามารถเข้าถึงคุกกี้ โทเค็นของเซสชัน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ ที่เบราว์เซอร์เก็บไว้และใช้กับไซต์นั้นได้ สคริปต์เหล่านี้สามารถเขียนซ้ำเนื้อหาของหน้า HTML ได้” ช่องโหว่นี้ส่งผลต่อตัวแก้ไขบล็อกของ Gutenberg อ่านต่อด้านล่าง WordPress Lodash JavaScript Library ช่องโหว่ ช่องโหว่เหล่านี้อาจเป็นสิ่งที่น่ากังวลที่สุด ไลบรารี Lodash JavaScript เป็นชุดของสคริปต์ที่นักพัฒนาใช้ซึ่งพบว่ามีช่องโหว่หลายจุด เวอร์ชันล่าสุดและปลอดภัยที่สุดคือ Lodash 4.17.21 เว็บไซต์ CVE List ของ US Homeland Security สนับสนุนให้รายละเอียดช่องโหว่: “Lodash เวอร์ชันก่อนหน้า 4.17.21 คือ เสี่ยงต่อ Command Injection ผ่านฟังก์ชันเทมเพลต” ดูเหมือนว่าจะมีช่องโหว่อื่นๆ อีกมากมายที่ส่งผลต่อไลบรารี Lodash ในสาขา 4.1.7 เช่นกัน WordPress เรียกร้องให้อัปเดตทันที ช่องโหว่ด้านความปลอดภัยเหล่านี้ช่วยเพิ่มความรู้สึกเร่งด่วนให้กับการอัปเดตนี้ WordPress แนะนำให้ผู้เผยแพร่โฆษณาทั้งหมดอัปเดต อ่านต่อด้านล่าง ประกาศอย่างเป็นทางการของ WordPress แนะนำให้อัปเดต: “เนื่องจากเป็นรุ่นความปลอดภัย ขอแนะนำให้คุณอัปเดตเว็บไซต์ของคุณทันที ทุกรุ่นตั้งแต่ WordPress 5.4 ได้รับการอัปเดตด้วย” การอ้างอิง WordPress 5.8.1 Security and Maintenance Release CVE Lodash Vulnerability Description CVE-2021-23337

  • บ้าน
  • Business
  • Data science
  • Marketing
  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button