WPTouch Vulnerability Allows Hackers to Upload PHP backdoors
ចំនុចខ្សោយនៅក្នុង WPTouch WordPress Plugin អនុញ្ញាតឲ្យមានការបញ្ជុន PHP Backdoors
បើសិនជាអ្នកមានប្រើប្រាស់នូវ Plugin មួយឈ្មោះថា WPTouch សម្រាប់ធ្វើឲ្យវិបសាយរបស់អ្នកមានទម្រង់អាចបើកបាននៅក្នងឧបករណ៍ចល័ត (mobile devices) អ្នកអាចប្រឈមមុខទៅនឹងចំនុចខ្សោយមួយដ៏ធ្ងន់ធ្ងរ ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារ ធ្វើការបញ្ជូននូវ PHP Backdoor ចូលទៅក្នុងម៉ាសីុនមេ ដោយមិនចាំបាច់ប្រើប្រាស់សិទ្ធិ ជាអភិបាល។
WordPress គឺជាប្រព័ន្ធ CMS (Content Management System) មួយដែលមាន Plugin ប្រមាណជា ៣០០០០ ដែលមួយៗមានលក្ខណៈខុសគ្នា សម្រាប់តម្រូវការធ្វើឲ្យវិបសាយរបស់អ្នក កាន់តែមានភាពទាក់ទាញ និងមុខងារច្រើនជាងមុន។ ហេតុដូច្នេះហើយ វាគឺមានភាពងាយស្រួល និងត្រូវបានប្រើប្រាស់ ប្រមាណច្រើនជាង ៧៣លានវិបសាយជុំវិញពិភពលោក ហើយមានប្រមាន ៥.៧លាន ប្រើប្រាស់នូវ WPTouch Plugin។
តើ WPTouch ប្រើប្រាស់ដើម្បីធ្វើអ្វី?
WPTouch គឺជា plugin មួយសម្រាប់ធ្វើឲ្យវិបសាយរបស់អ្នក មានទម្រង់ល្អប្រសើរសមនឹងការបង្ហាញនៅក្នុងឧបករណ៍ចល័យ (iPhone, iPad, Samsung Galaxy note, …) ហើយដែលមានលក្ខណៈមុខងារជាច្រើន អនុញ្ញាតឲ្យអ្នកប្រើប្រាស់ធ្វើការកំណត់ ដោយមិនចាំបាច់ធ្វើការប៉ះពាល់ដល់ desktop version នៃ theme របស់អ្នកឡើយ។
ចំនុចខ្សោយដែលអាចឲ្យមានការបញ្ជុន PHP Shell BackDoor
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខនៅក្រុមហ៊ុន Sucuri បានចេញការព្រមានឲ្យអ្នកប្រើប្រាស់នូវ WPTouch Plugin ធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់ បន្ទាប់ពីរកឃើញនូវ ចំនុចខ្សោយមួយ ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការបញ្ជូន PHP Backdoor ទៅក្នុង Website’s directories បានយ៉ាងងាយស្រួល។
ចំនុចខ្សោយនេះត្រូវបានរកឃើញនៅក្នុងពេលដែលមានការធ្វើ audit សម្រាប់ company’s Web Application Firewall (WAF)។