ตรวจพบข้อบกพร่องที่สำคัญใน WPFORMS ซึ่งเป็นรูปแบบ WordPress ของรูปแบบที่ใช้โดยเว็บไซต์หลายล้านแห่ง ด้วยการใช้งานช่องโหว่นี้ผู้ใช้สามารถได้รับเงินคืนสำหรับการซื้อออนไลน์ของพวกเขา ... แม้ว่าการแก้ไขได้ถูกนำไปใช้อย่างรวดเร็ว แต่เว็บไซต์นับล้านยังคงได้รับมอบหมาย
มีการค้นพบช่องโหว่ในwpformsปลั๊กอิน WordPress ที่ใช้โดยไซต์มากกว่าหกล้านแห่ง ในฐานะเพื่อนร่วมงานของเราจากรายงานคอมพิวเตอร์ Bleeping การละเมิดถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่เรียกตัวเองว่า Villu164 เมื่อปลายเดือนตุลาคม นักวิจัยได้เตือนทีมงานของWordfenceปลั๊กอินความปลอดภัยสำหรับ WordPress เพื่อแลกกับการค้นพบของเขาเขาได้รับโบนัส $ 2,376 ในอีกไม่กี่วันต่อมา
อ่านเพิ่มเติม:ข้อมูลผู้ใช้อินเทอร์เน็ต 125 ล้านคนได้รับการเปิดเผยโดย 900 เว็บไซต์
การชำระเงินคืนโดยไม่ได้รับอนุญาต
มีให้ในเวอร์ชันที่ชำระเงินหรือฟรีพร้อมข้อ จำกัด ปลั๊กอินช่วยให้คุณสร้างได้อย่างง่ายดายรูปแบบส่วนบุคคลสำหรับไซต์ WordPress เป็นไปได้ที่จะออกแบบแบบฟอร์มการติดต่อความคิดเห็นแบบฟอร์มการสมัครสมาชิกและแบบฟอร์มการชำระเงิน เข้ากันได้กับผู้จัดการการชำระเงินออนไลน์หลายคนรวมถึง PayPal และ Stripe
โดยการใช้ประโยชน์จากความผิดนักโต้คลื่นมีแนวโน้มที่จะรับเงินคืนโดยไม่มีข้อตกลงของผู้ดูแลระบบของเว็บไซต์ de พฤตินัยผู้บริโภคสามารถรับเงินคืนในร้านค้าออนไลน์หลังจากทำการสั่งซื้อ
"ช่องโหว่นี้ช่วยให้ผู้ใช้ที่เป็นอันตรายได้รับการรับรองความถูกต้องด้วยสิทธิ์สมาชิกหรือสิทธิ์ที่เหนือกว่าสามารถคืนเงินให้กับการชำระเงินของแถบและการยกเลิกการสมัครสมาชิกลายแม้ว่าพวกเขาจะไม่ได้รับอนุญาตประเภทนี้"ขีดเส้นใต้ WordFence ในรายงาน
นอกจากนี้ผู้ใช้สามารถยกเลิกการสมัครสมาชิกโดยพลการ เห็นได้ชัดว่าน่าทึ่งสำหรับทุกเว็บไซต์ ช่องโหว่เป็นอันตรายต่อรายได้ของพวกเขาในความเป็นจริง
ความผิดปกติอยู่ในฟังก์ชั่นที่มีวัตถุประสงค์เพื่อตรวจสอบว่าคำขอมาจากหน้าหรือเส้นทางการดูแลระบบ (ตัวอย่างเช่นแผงควบคุม WordPress) อย่างไรก็ตามไม่ได้ตรวจสอบสิทธิ์ของผู้ใช้ที่อยู่เบื้องหลังคำขอ กล่าวอีกนัยหนึ่งก็ไม่มั่นใจว่าผู้ใช้ที่ออกคำขอมีสิทธิ์ที่จำเป็นในการเข้าถึงข้อมูลนี้หรือการกระทำเหล่านี้ ในที่สุดผู้ใช้ทุกคนสามารถออกคำสั่งซื้อที่สงวนไว้สำหรับผู้ดูแลระบบ
มีการปรับใช้แล้ว
เวอร์ชัน 1.8.4 และสูงถึง 1.2.2.1 ของปลั๊กอินเกี่ยวข้อง ในการแก้ไขช็อตผู้พัฒนาแรงจูงใจที่ยอดเยี่ยมกลุ่มที่อยู่เบื้องหลัง WPForms ได้รวมการแก้ไขภายในอัปเดต 1.2.2.2 ของปลั๊กอิน-
WordFence ให้กำลังใจ"ผู้ใช้ WordPress ตรวจสอบว่าเว็บไซต์ของพวกเขาได้รับการอัปเดตด้วย WPFORM รุ่นล่าสุดที่แก้ไขโดยเร็วที่สุดเท่าที่จะเป็นไปได้เนื่องจากลักษณะสำคัญของช่องโหว่นี้"- ในมุมมองของสถิติ WordPress มากกว่าสามล้านไซต์ยังคงมีความเสี่ยง
มันยังห่างไกลจากการเป็นครั้งแรกที่ธงของปลั๊กอิน WordPress ยอดนิยมได้ใกล้สูญพันธุ์เว็บไซต์นับล้าน เมื่อเดือนที่แล้วอ่างรักษาความปลอดภัยที่เรียบง่ายจริงๆปลั๊กอินความปลอดภัยของ WordPress อนุญาตให้ผู้โจมตีระยะไกลได้รับการเข้าถึงผู้ดูแลระบบเต็มรูปแบบในเว็บไซต์มากกว่า 4 ล้านไซต์ อายุมากกว่าสองสามเดือนช่องโหว่ในปลั๊กอิน Popup Builderแม้แต่ทำให้เกิดการแฮ็คเว็บไซต์หลายพันแห่ง
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
แหล่งที่มา : คอมพิวเตอร์ bleeping
