มีการเปิดเผยข้อมูลของบั๊กใหม่บน WordPress ที่เปิดช่องให้สามารถโจมตีแบบ SQL Injection จนนำไปสู่การโดนยึดครองเว็บไซต์ทั้งหมด โดยเป็นช่องโหว่บนระบบจัดการคอนเท็นต์หรือ CMS ตั้งแต่รุ่น 4.8.2 ลงมา ซึ่งเมื่อวันอังคารที่ผ่านมานั้น WordPress ได้ประกาศเปิดตัวรุ่น 4.8.3 ที่มีการแพทช์ช่องโหว่สำคัญดังกล่าวให้โหลดแล้ว
ซึ่ง WordPress กำชับกับผู้ใช้ทุกรายให้อัพเดตเว็บไซต์ด้วยเวอร์ชั่นใหม่ในทันที ทั้งนี้ช่องโหว่ดังกล่าวเป็นการประมวลผลข้อมูลตัวอักษรบางอย่างผิดปกติ ที่ทำให้ฟังก์ชั่น $wpdb->prepare() สร้าง Query ที่ไม่ปลอดภัยอันเป็นเหตุให้สามารถทำ SQL Injection ได้
แม้โค้ดแกนหลักของ WordPress ไม่ได้มีช่องโหว่ดังกล่าวโดยตรง แต่แพทช์ล่าสุดนี้ก็ได้วางมาตรการป้องกันเพื่อไม่ให้ปลั๊กอินและธีมต่างๆ สร้างช่องโหว่ดังกล่าวขึ้นมาได้อีก สำหรับผู้ที่ค้นพบบั๊กครั้งนี้คือ Anthony Ferrara นักวิจัยด้านความปลอดภัย ซึ่งรายงานบั๊กนี้ผ่านแพลตฟอร์มล่าค่าหัวบั๊กอย่าง HackerOne ตั้งแต่วันที่ 20 กันยายน
ทั้งนี้ Ferrara กล่าวว่า หลังจากรายงานให้ WordPress ทราบนั้น กลับไม่ได้รับการตอบสนองใดๆ เป็นเวลาหลายสัปดาห์จนกระทั่งเขาตัดสินใจแจ้งทางทีมงาน WordPress อีกครั้งว่าจะเปิดเผยรายละเอียดบั๊กต่อสาธารณะ จึงทำให้ WordPress กลับมาสนใจและให้ความร่วมมือในการออกแพทช์ โดยผู้ใช้สามารถกดอัพเดตได้จากระบบของตัวเอง หรือดาวน์โหลดมาติดตั้งเองจากเว็บก็ได้
ที่มา : http://www.zdnet.com/article/wordpress-patches-sql-injection-bug-in-emergency-release
