คลังเก็บป้ายกำกับ: SQL_INJECTION

thectalkthai

เตือนช่องโหว่ SQL Injection บน Magento อาจถูกใช้โจมตีเป็นวงกว้างในไม่ช้า ควรเร่ง Patch ทันที

หลังจากที่สัปดาห์ที่แล้ว Adobe ได้ออกมาประกาศ Patch ล่าสุดให้กับ Magento ระบบ E-Commerce ที่ได้รับความนิยมสูงทั่วโลก เพื่ออุดช่องโหว่ SQL Injection ไป ตอนนี้ก็เริ่มมีเหล่าผู้เชี่ยวชาญด้าน Security ออกมาแจ้งเตือนกันแล้วว่าช่องโหว่ดังกล่าวอาจถูกใช้ในการโจมตีทั่วโลกในไม่ใช้านี้ และแนะนำให้ธุรกิจต่างๆ ที่ใช้งาน Magento อยู่นั้นรีบอัปเดต Patch อุดช่องโหว่กันทันที

Credit: Magento

ในอัปเดตรอบล่าสุดของ Magento นี้มีการอุดช่องโหว่ด้าน Security ไปมากถึง 37 รายการทั้งสำหรับระบบแบบ Commercial และ Open Source โดยมี 4 ช่องโหว่ที่ได้คะแนน CVSS สูงกว่า 9 คะแนน ซึ่งแปลว่ามีความรุนแรงระดับสูงสุด แต่ช่องโหว่ SQL Injection ในรายการ Patch ครั้งนี้ถือเป็นช่องโหว่ที่ถูกโจมตีได้ง่ายและสร้างความเสียหายได้มาก ทาง Sucuri จึงได้ออกมาเตือนว่าช่องโหว่นี้อาจถูกใช้โจมตีในอนาคต

อย่างไรก็ดี ด้วยความที่ Magento นั้นเป็น Platform ที่ถูกใช้งานอย่างกว้างขวางทั่วโลก ทำให้ Magento นั้นมักตกเป็นเป้าหมายของการโจมตีเป็นอันดับต้นๆ อยู่แล้ว ผู้ดูแลระบบ Magento จึงควรให้ความสำคัญกับการอัปเดต Patch อย่างสม่ำเสมอ

ผู้ที่สนใจสามารถตรวจสอบรายการช่องโหว่และ Patch ล่าสุดของ Magento ได้ที่ https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update ครับ

ที่มา: https://www.csoonline.com/article/3385525/critical-magento-sql-injection-flaw-could-be-targeted-by-hackers-soon.html

from:https://www.techtalkthai.com/latest-sql-injection-vulnerability-on-magento-might-be-used-in-attack-campaign-soon/

thectalkthai

SAP แพตช์ช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือนสิงหาคม

เมื่อวันอังคารที่ผ่านมา SAP เจ้าของผลิตภัณฑ์ ERP รายใหญ่ได้ออกแพตช์อุตช่องโหว่ด้านความมั่นคงปลอดภัยกว่า 27 รายการ อย่างไรก็ตามในแพตช์ชุดนี้ไม่มีช่องโหว่ระดับร้ายแรง

Credit:alexmillos/ShutterStock

ช่องโหว่ระดับความรุนแรงสูงจำนวน 9 ช่องโหว่ถูกค้นพบโดย Onapsis ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของแอปพลิเคชัน SAP โดยทางบริษัทกล่าวใน บล็อก เกี่ยวกับช่องโหว่ว่า “หนึ่งในช่องโหว่ SQL Injection ใน SAP BussinessObject ทำให้แฮ็กเกอร์ที่มีสิทธิ์ระดับต่ำสามารถ inject ข้อมูลและเข้าถึงข้อมูลที่ไม่สมควรได้” ซึ่งมีหมายเลขอ้างอิง CVE-2018-2447

ในขณะที่ผู้เชี่ยวชาญด้าน SAP อีกรายหนึ่งอย่าง ERPScan ก็ได้ให้ความเห็นถึงช่องโหว่อื่นที่น่าสนใจคือ CVE-2018-2449 คือเกี่ยวกับการตรวจสอบการพิสูจน์ตัวตนผิดพลาดใน SAP SRM MDM Catalog และสุดท้าย CVE-2018-5237 ช่องโหว่เกี่ยวกับ Memory Corruption ในแพลต์ฟอร์ม BussinessObject BI ซึ่งสามารถนำไปสู่การ Execute โค้ดได้ อย่างไรก็ตามผู้ดูแลก็ควรติดตามอัปเดตกันนะครับ

ที่มา : https://www.securityweek.com/sap-releases-august-2018-security-updates

from:https://www.techtalkthai.com/sap-monthly-patch-august-2018/

thectalkthai

ผู้เชี่ยวชาญชี้แฮ็กเกอร์อาจสร้างความโกลาหลจากช่องโหว่ใน Smart City

ผู้เชี่ยวชาญจาก Threatcare และ IBM X-Force ได้ผนึกกำลังกันเพื่อศึกษาช่องโหว่ในเทคโนโลยีของ Smart City ที่อาจเปิดโอกาสให้แฮ็กเกอร์สร้างความโกลาหล ซึ่งจากการศึกษาผู้เล่นในเทคโนโลยี 3 บริษัทคือ Echelon, Libelium และ Battelle พบว่ามีช่องโหว่กว่า 17 รายการในผลิตภัณฑ์ 4 ประเภท โดยเป็นช่องโหว่ร้ายแรงจำนวน 8 รายการ

Credit: ShutterStock.com

บริษัท Echelon ถูกทดสอบในเราเตอร์รุ่น LON 100 และ 600 ซึ่งทำหน้าให้องค์กรสามารถติดตามและควบคุมอุปกรณ์ LonWorks เช่น ปั้ม วาวล์ มอเตอร์ เซนเซอร์ และแสง พบว่ามีช่องโหว่จำนวน 5 รายการ คือ 2 ช่องโหว่ระดับร้ายแรงที่ทำให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตน การใช้งาน Default Credential และรหัสผ่านแบบ Plaintext รวมถึงยังขาดการเข้ารหัสในการสื่อสาร โดยทาง ICS-CERT ได้ตีพิมพ์ Advisory เกี่ยวกับการค้นพบครั้งนี้เอาไว้ที่นี่

กรณีของบริษัท Libelium หรือผู้เชี่ยวชาญด้านฮาร์ดแวร์สำหรับเครือข่ายเซ็นเซอร์รับสัญญาณไร้สาย ทางทีมนักวิจัยพบว่า IoT Gateway ที่ชื่อ Meshlium ถูกออกแบบมาให้เซนเซอร์สามารถเชื่อมต่อไปยังแพลตฟอร์ม Cloud ใดๆ ก็ได้ โดยมีช่องโหว่ Pre-authentication Shell Injection จำนวน 4 รายการ และสุดท้ายกรณีของ Battelle ทางทีมงานพบช่องโหว่ในผลิตภัณฑ์ V2I Hub (Vehicle-to-infrastructure) ที่ใช้เพื่อการสื่อสารข้อมูลระหว่างสัญญาณควบคุมจราจรกับยานพาหนะพบกับช่องโหว่หลายรายการ เช่น SQL injection, Hardcoded Password, Cross-site-script (XSS) และไม่มีการปกป้องฟังก์ชันที่ละเอียดอ่อน รวมไปถึงปัญหาของ API อีกด้วย ซึ่งช่องโหว่หลักๆ ถูกจัดในระดับร้ายแรงและระดับสูง

นักวิจัยได้แจ้งเตือนผู้ผลิตเหล่าที่ได้รับผลกระทบเรียบร้อยแล้วและถูกแก้ไขแล้วเช่นกัน อย่างไรก็ตามแม้ว่าการค้นพบช่องโหว่เช่นนี้เหมือนเป็นเรื่องธรรมดาและยังไม่เคยพบหลักฐานว่าช่องโหว่ในอุปกรณ์ที่เกี่ยวข้องในโปรเจ็คนี้ถูกโจมตี แต่ที่น่ากังวลคือด้วยการใช้แพลตฟอร์มค้นหาอย่าง Shodan และ Censys สามารถแสดงระบบที่มีช่องโหว่และเชื่อมต่อผ่านอินเทอร์เน็ตได้หลายสิบหรือหลายร้อยระบบ มีทั้งจากยุโรปและเมืองหลักของสหรัฐฯ

จากข้อสรุปคือช่องโหว่เหล่านี้สามารถถูกใช้งานเพื่อทำให้เกิดหายนะอย่างใหญ่หลวงร้ายแรง“–นักวิจัยกล่าวทิ้งท้าย ผู้โจมตีสามารถใช้ช่องโหว่เพื่อแทรกแซงเซนเซอร์วัดระดับน้ำเพื่อทำให้เกิดความวุ่นวาย เช่น อาจจะทำให้ค่าระดับน้ำดูเหมือนปกติทั้งๆ ที่น้ำกำลังท่วม ควบคุมสัญญาณไฟจราจร และการแจ้งเตือนฉุกเฉินต่างๆ

ที่มา : https://www.securityweek.com/flaws-smart-city-systems-can-allow-hackers-cause-panic

from:https://www.techtalkthai.com/experts-warn-vulnerabilities-in-smart-city-system/

thectalkthai

รวม 6 คอร์สฟรี ปูพื้นฐานด้าน Web Security ที่คนทำเว็บควรเรียน

ที่ผ่านมาเรามักเห็นข่าวเว็บไซต์ต่างๆ ถูกโจมตีหรือเจาะระบบกันมาอย่างต่อเนื่อง ทางทีมงาน TechTalkThai จึงไปค้นหาคอร์สเรียนฟรีที่จะช่วยเสริมความรู้ด้าน Security ให้กับผู้ที่เกี่ยวข้องกับระบบ Website ต่างๆ ไม่ว่าจะเป็น Developer, System Engineer หรือ Network Engineer ก็ตาม ให้ได้มาเรียนพื้นฐานด้านนี้และนำไปประยุกต์ใช้กันได้ฟรีๆ ดังนี้

 

Credit: Cybrary

 

  • ปูพื้นฐาน TCP/IP สำหรับคนไม่เคยมีพื้นส่วนนี้ว่า TCP/IP ทำงานอย่างไร คอร์สความยาว 1 ชั่วโมง
  • SQL Injection มารู้จักกับการโจมตีพื้นฐานด้วยเทคนิค SQL Injection พร้อมทำแล็บตัวอย่าง กับคอร์สความยาว 1 ชั่วโมง
  • Cross-Site Scripting (XSS) เรียนรู้ช่องโหว่ที่เกิดจาก XSS บนเว็บไซต์ และการโจมตีในรูปแบบต่างๆ ที่หลากหลาย กับคอร์สความยาว 1 ชั่วโมงเช่นกัน
  • Security Misconfiguration ต้นเหตุหลักที่ข้อมูลมักรั่วไหลออกจากบริการ Cloud และตกเป็นข่าวใหญ่ทั่วโลกอยู่ตลอด เรียนรู้วิธีการป้องกันไม่ให้เกิดปัญหานี้กับคอร์สความยาว 1 ชั่วโมง
  • Strategic DNS Ops and Security DNS ถือเป็นอีกหัวใจสำคัญของแทบทุกบริการ แต่ในทางกลับกันก็ไม่ค่อยมีใครให้ความสำคัญกันมากนัก มาเรียนรู้การทำงานของ DNS กันอย่างจริงจังและนำไปประยุกต์ใช้ได้อย่างถูกต้องกับคอร์สความยาว 1 ชั่วโมงเช่นกัน
  • Web App Security Fundamentals เรียนรู้พื้นฐานภาพรวมด้าน Security สำหรับ Web และเครื่องมือต่างๆ สำหรับใช้ตรวจสอบช่องโหว่บนเว็บไซต์ เช่น Vega, BurpSuite, SQLMap, Arachni, W3AF, Nikto, SearchSploit และ NMAP

 

เนื้อหาของคอร์สเหล่านี้ทั้งหมดจะเป็นภาษาอังกฤษ มีสไลด์ประกอบการบรรยายเกือบทั้งหมด และย้อนกลับมาฟังซ้ำได้เรื่อยๆ และหลายคอร์สเองเมื่อเรียนจบก็จะได้รับ Certificate จาก Cybrary.it โดยตรงด้วย ดังนั้นใครสนใจก็สามารถสมัครสมาชิกในเว็บไซต์ Cybrary กันได้ฟรีๆ แล้วลงเรียนคอร์สเหล่านี้กันได้เลยครับ

from:https://www.techtalkthai.com/6-free-web-security-online-courses-from-cybrary-it/

thectalkthai

รายงานพบมีเว็บไซต์กว่า 18.5 ล้านเว็บไซต์อาจติดมัลแวร์ได้ตลอดเวลา

Sitelock ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้เผยรายงานในช่วงไตรมาสสุดท้ายในปี 2017 โดยจัดทำขึ้นจากลูกค้าของตนกว่า 6 ล้านรายที่ทุกคนใช้บริการสแกนมัลแวร์อย่างน้อยหนึ่งบริการ อีกทั้งบางส่วนยังมีการใช้ WAF บน Cloud ด้วย ซึ่ง Sitelock ได้อ้างจากผลสำรวจรวจว่า 1% ของเว็บไซต์ทั่วโลกหรือกว่า 18.5 ล้านเว็บไซต์สามารถติดมัลแวร์ได้ตลอดเวลา

Credit: ShutterStock.com

 

ลูกค้าของ Sitelock มักจะเป็นธุรกิจระดับ SME หรือ Blog ซึ่งมักจะไม่ตระหนักดังนี้

  • ไม่ถือว่าความมั่นคงปลอดภัยนั้นคือความรับผิดชอบของตน
  • เชื่อ Search Engine มากซึ่งในรายชื่อ Blacklist นั้นมีไม่ถึง 1 ใน 5 ของเว็บไซต์ที่ติดมัลแวร์
  • ไม่สนใจคำเตือนจากบุคคลที่ 3 ว่าตนนั้นถูกแทรกแซงแล้ว
  • ลูกค้าที่ใช้งานซอฟต์แวร์อย่าง CMS คิดว่าอัปเดตล่าสุดแล้วปลอดภัย แต่ 46% ของ WordPress ที่ติดมัลแวร์นั้นอัปเดตล่าสุดแล้วเพียงแต่มีการใช้งาน Plug-in ที่มีความเสี่ยงถูกแทรกแทรง นอกจากนี้ลูกค้าที่ไม่ได้อัปเดตในทันทีอาจถูกแฮ็กเกอร์ประดิษฐ์วิธีการใช้ช่องโหว่นั้นก่อนโดยหาข้อมูลตัวอย่างจากอินเทอร์เน็ตนั่นเอง

โดย Sitelock ได้กำจัดไฟล์อันตรายไปกว่า 672,655 ไฟล์ต่อสัปดาห์ใน Q4 และ 16% เป็นผลมาจากมัลแวร์และกว่า 12% คือ Backdoor ของผู้ร้ายเพื่อเอาไว้อัปโหลดไฟล์อันตรายอื่นๆ เช่น ชุดเจาะระบบ หรือ หน้าเพจหลอกลวง Jessiga Ortega นักวิจัยของ Sitelock บอกว่าไฟล์อันตรายส่วนใหญ่มักเป็น Zip ไฟล์ซึ่งเมื่อไฟล์ที่ใช้งานถูกลบไปแล้ว ผู้ร้ายก็สามารถกลับมาแทรกแซงระบบอีกครั้งได้อยู่ดีโดยผ่านทางไฟล์เหล่านี้

Sitelock พบสาเหตุที่เว็บไซต์ทั่วไปโดนเจาะได้ง่ายดังนี้

  • 414 เพจเฉลี่ยแต่ละเว็บไซต์มีช่องโหว่ Cross-site Scripting
  • 959 เพจเฉลี่ยต่อไซต์มีช่องโหว่ SQL Injection
  • 414 เพจของเฉลี่ยต่อเว็บไซต์มีช่องโหว่ Cross-site Request Forgery
อย่างไรก็ตามวิธีที่จะเข้าใจภัยคุกคามได้คือต้องเข้าใจแรงจูงใจของผู้โจมตีเสียก่อน ซึ่งหลักๆ แล้วผู้โจมตีมักจะต้องการเพิ่ม Ranking ของ Search Engine ให้กับลูกค้าของผู้โจมตีโดยอาศัยการใส่ลิงก์กลับไปหาเว็บไซต์ของลูกค้า หรือ เพื่อการโจมตี Phishing หรือ แพร่มัลแวร์ไปให้ผู้เยี่ยมชมเว็บไซต์

from:https://www.techtalkthai.com/sitelock-reported-website-vulnerabilities-in-q4-2017/

thectalkthai

Joomla ออกรุ่น 3.8.4 อุด 4 ช่องโหว่ แก้บั๊กนับร้อยรายการ

Joomla ได้ออกมาประกาศเปิดตัวอัปเดตรุ่น 3.8.4 โดยทำการอุดช่องโหว่ด้าน Security ไปด้วยกัน 4 รายการ และแก้ไขบั๊กต่างๆ อีกนับร้อยรายการ

 

Credit: Joomla

 

ช่องโหว่ที่อุดใน Patch รอบนี้นั้นเป็นช่องโหว่ในระดับ Low Priority ทั้งหมด โดยแบ่งเป็นช่องโหว่ Cross-site Scripting (XSS) 3 รายการ และช่องโหว่ SQL Injection (SQLi) อีก 1 รายการ ส่วนบั๊กต่างๆ ที่แก้ไขนั้นก็เป็นบั๊กประปราย แต่ก็มีหลายรายการที่สำคัญเช่นกัน

ผู้ที่ใช้งาน Joomla สามารถโหลด Package ตัวเต็มได้ที่ https://downloads.joomla.org/cms/joomla3/3-8-4/Joomla_3.8.4-Stable-Full_Package.zip?format=zip และโหลดตัวอัปเกรดได้ที่ https://downloads.joomla.org/cms/joomla3/3-8-4 ครับ

 

ที่มา: https://www.joomla.org/announcements/release-news/5723-joomla-3-8-4-release.html

from:https://www.techtalkthai.com/joomla-3-8-4-is-released/

enterpriseitpro

FBI จับแฮ็กเกอร์ชาวอิหร่านที่อยู่เบื้องหลังการแฮ็ก HBO

FBI และกระทรวงยุติธรรมสหรัฐฯ ได้แถลงการณ์จับกุม Behzad Mesri ชาวอิหร่าน ในข้อหาแฮ็กระบบของ HBO เพื่อเรียกค่าไถ่ และปล่อยเนื้อหาหนังซีรี่ย์และสคริปต์ที่ยังไม่ออกอากาศของ HBO TV โดยเฉพาะซีรี่ย์ดังอย่าง Game of Thrones

โดย Mesri ใช้ชื่อแทนตัวบนโลกออนไลน์ว่า “Skote Vahshat” ซึ่งเป็นหนึ่งในสมาชิกกลุ่มแฮ็กเกอร์ชื่อ Turk Black Hat Security และก่อนหน้าที่จะแฮ็ก HBO นั้น Mesri ได้แฮ็กเว็บไซต์หลายร้อยแห่งทั่วโลกมาแล้ว ดูได้จากการเผยแพร่สคริปต์ที่ใช้ทำ SQL Injection บนแต่ละเว็บของเขาบน Packet Storm จำนวนมาก

การแฮ็ก HBO นี้เกิดขึ้นเมื่อช่วงพฤษภาคมที่ผ่านมาจากการเฝ้าติดตามช่องโหว่ออนไลน์ของเครือข่ายคอมพิวเตอร์ และพนักงานของ HBO เอง จนสามารถเข้าถึงเครือข่ายภายในบริษัท และขโมยไฟล์เอกสาร รวมทั้งคลิปซีรี่ย์ตอนที่ยังไม่ออกอากาศได้ จากนั้นเมื่อวันที่ 23 กรกฎาคม ที่ HBO เตรียมออกอากาศ Game of Thrones ซีซั่น 7 เขาจึงเริ่มส่งอีเมล์ไปยังผู้บริหารของ HBO เพื่อขอค่าไถ่มูลค่ากว่า 6 ล้านดอลลาร์สหรัฐฯ ในรูปของบิทคอยน์

และเมื่อ HBO ปฏิเสธการจ่ายเงิน แฮ็กเกอร์ออกมาแฉผ่านสื่อต่างๆ ว่า “HBO กำลังจะเจ๊ง” พร้อมค่อยๆ ปล่อยข้อมูลที่แฮ็กมาได้ออกมาเป็นระลอกๆ จน HBO ต้องขอเจรจาที่จะแบ่งจ่ายเสี้ยวเดียวก่อนในรูปของเงินรางวัลที่หาบั๊กของเครือข่ายบริษัทเจอ แต่ Mesri ก็ปฏิเสธพร้อมปล่อยสคริปต์ซีรี่ย์ดังออกมาเป็นชุด

ที่มา : https://www.bleepingcomputer.com/news/security/fbi-charges-iranian-national-behind-hbo-hack/

from:https://www.enterpriseitpro.net/archives/8891

enterpriseitpro

WordPress อุดช่องโหว่ SQL Injection ในแพทช์ความปลอดภัยตัวล่าสุด

มีการเปิดเผยข้อมูลของบั๊กใหม่บน WordPress ที่เปิดช่องให้สามารถโจมตีแบบ SQL Injection จนนำไปสู่การโดนยึดครองเว็บไซต์ทั้งหมด โดยเป็นช่องโหว่บนระบบจัดการคอนเท็นต์หรือ CMS ตั้งแต่รุ่น 4.8.2 ลงมา ซึ่งเมื่อวันอังคารที่ผ่านมานั้น WordPress ได้ประกาศเปิดตัวรุ่น 4.8.3 ที่มีการแพทช์ช่องโหว่สำคัญดังกล่าวให้โหลดแล้ว

ซึ่ง WordPress กำชับกับผู้ใช้ทุกรายให้อัพเดตเว็บไซต์ด้วยเวอร์ชั่นใหม่ในทันที ทั้งนี้ช่องโหว่ดังกล่าวเป็นการประมวลผลข้อมูลตัวอักษรบางอย่างผิดปกติ ที่ทำให้ฟังก์ชั่น $wpdb->prepare() สร้าง Query ที่ไม่ปลอดภัยอันเป็นเหตุให้สามารถทำ SQL Injection ได้

แม้โค้ดแกนหลักของ WordPress ไม่ได้มีช่องโหว่ดังกล่าวโดยตรง แต่แพทช์ล่าสุดนี้ก็ได้วางมาตรการป้องกันเพื่อไม่ให้ปลั๊กอินและธีมต่างๆ สร้างช่องโหว่ดังกล่าวขึ้นมาได้อีก สำหรับผู้ที่ค้นพบบั๊กครั้งนี้คือ Anthony Ferrara นักวิจัยด้านความปลอดภัย ซึ่งรายงานบั๊กนี้ผ่านแพลตฟอร์มล่าค่าหัวบั๊กอย่าง HackerOne ตั้งแต่วันที่ 20 กันยายน

ทั้งนี้ Ferrara กล่าวว่า หลังจากรายงานให้ WordPress ทราบนั้น กลับไม่ได้รับการตอบสนองใดๆ เป็นเวลาหลายสัปดาห์จนกระทั่งเขาตัดสินใจแจ้งทางทีมงาน WordPress อีกครั้งว่าจะเปิดเผยรายละเอียดบั๊กต่อสาธารณะ จึงทำให้ WordPress กลับมาสนใจและให้ความร่วมมือในการออกแพทช์ โดยผู้ใช้สามารถกดอัพเดตได้จากระบบของตัวเอง หรือดาวน์โหลดมาติดตั้งเองจากเว็บก็ได้

ที่มา : http://www.zdnet.com/article/wordpress-patches-sql-injection-bug-in-emergency-release

from:https://www.enterpriseitpro.net/archives/8600

thectalkthai

พบช่องโหว่ SQL Injection บน WordPress WP Statistics Plugin มี Patch แล้ว

ใน WordPress Plugin ที่มีผู้ใช้งานจำนวนมากถึง 300,000 เว็บอย่าง WP Statistics นั้น ทาง Sucuri ได้ค้นพบช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถโจมตีได้จากระยะไกลและขโมยข้อมูลจาก Database หรืออาจยกระดับสิทธิ์ของตนเองในการเข้าถึงเว็บไซต์ได้

 

ช่องโหว่ SQL Injection นี้ปรากฏอยู่บนฟังก์ชันหลากหลายของ Plugin นี้ เนื่องจากไม่ได้มีการทำ Sanitization ให้ดี โดยปัจจุบันทางทีมพัฒนา WP Statistics ได้ทำการออก Patch แก้ไขปัญหาเหล่านี้แล้วใน WP Statistics รุ่น 12.0.8 ดังนั้นหากใครใช้งานอยู่ก็ควรไปอัปเดตทันทีครับ

 

ที่มา: http://thehackernews.com/2017/06/wordpress-hacking-sql-injection.html

from:https://www.techtalkthai.com/sql-injection-vulnerability-was-found-on-wp-statistics-plugin-with-patch-now/

thectalkthai

Joomla! 3.7.1 ออกแล้ว อุดช่องโหว่ความรุนแรงระดับสูงสุด ควรอัปเดตทันที

หลังจากที่ Joomla! ได้ออกมาเตือนล่วงหน้าประมาณ 1 สัปดาห์เกี่ยวกับช่องโหว่ความรุนแรงระดับสูงสุด และแนะนำให้ผู้ใช้งานทุกคนทำการอัปเดตทันทีที่รุ่น 3.7.1 ออก ตอนนี้ Joomla! ได้ออกรุ่น 3.7.1 ซึ่งอุดช่องโหว่ดังกล่าวแล้ว และช่องโหว่นั้นก็คือ SQL Injection ที่ปรากฏอยู่บน Joomla! 3.7.0 นั่นเอง

 

นอกจากการอุดช่องโหว่ SQL Injection นี้แล้ว ก็ยังมีการแก้ไขบั๊กต่างๆ อีกมากมายด้วย โดยสำหรับผู้ที่ต้องการติดตั้ง Joomla! 3.7.1 ใหม่เลยสามารถโหลดได้ที่ https://downloads.joomla.org/cms/joomla3/3-7-1/joomla_3-7-1-stable-full_package-zip?format=zip ส่วนผู้ที่ต้องการอัปเกรดสามารถโหลดได้ที่ https://downloads.joomla.org/cms/joomla3/3-7-1 โดยควรอ่านคู่มืออัปเดต https://docs.joomla.org/J3.x:Updating_from_an_existing_version ก่อนการติดตั้งจริงครับ

 

ที่มา: https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html

from:https://www.techtalkthai.com/joomla-3-7-1-is-released-to-fix-critical-sql-injection-vulnerability/