Lemon8ชุมชนไลฟ์สไตล์
FreedomHack 󱢏
FreedomHack 󱢏

ผู้ติดตาม 3831 คน

ติดตาม
ติดตาม
ติดตาม
รูปภาพของ พบช่องโหว่บนปลั๊กอิน Modular DS ของ Wordpress (0)
1/2

คุณอาจชอบ

FreedomHack 󱢏FreedomHack 󱢏
1

FreedomHack 󱢏FreedomHack 󱢏
1
ตรวจพบช่องโหว่บน Notepad++ เปิดช่องให้แฮกเกอร์

ตรวจพบช่องโหว่บน Notepad++ เปิดช่องให้แฮกเกอร์

FreedomHack 󱢏FreedomHack 󱢏
6
ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีน.

ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีน.

FreedomHack 󱢏FreedomHack 󱢏
1

NongMoon - น้องมูนNongMoon - น้องมูน
1
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
ดูเพิ่มเติมในแอป
0 คนบันทึกแล้ว
2

พบช่องโหว่บนปลั๊กอิน Modular DS ของ Wordpress

พบช่องโหว่บนปลั๊กอิน Modular DS ของ Wordpress เอื้อให้แฮกเกอร์ยึดเว็บไซต์ได้

Wordpress อาจจะเป็นเครื่องมือสำหรับการสร้างเว็บไซต์ที่ได้รับความนิยม จากการที่มีเครื่องมือสนับสนุนการใช้งานเป็นจำนวนมาก แต่ในเวลาเดียวกัน ระบบนี้ก็มีจุดอ่อนด้านความปลอดภัยที่มากมายเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่บนปลั๊กอิน (Plug-In) ของ Wordpress ที่มีชื่อว่า Modular DS ซึ่งเป็นปลั๊กอินสำหรับช่วยจัดการสิ่งต่าง ๆ บน Wordpress ให้สามารถทำได้ง่ายขึ้น โดยปลั๊กอินตัวนี้มีผู้ดาวน์โหลดใช้งานมากกว่า 4 หมื่นรายแล้ว ณ เวลาปัจจุบัน จึงถือได้ว่าเป็นปลั๊กอินที่ได้รับความนิยมพอสมควร สำหรับช่องโหว่ที่ถูกตรวจพบดังกล่าวนั้นถูกตั้งรหัสว่า CVE-2026-23550 ที่มีความร้ายแรงระดับสูงสุดเนื่องจากได้รับคะแนน CVSS ซึ่งเป็นคะแนนวัดความร้ายแรงของช่องโหว่ความปลอดภัยที่มากถึง 10.0 โดยช่องโหว่นี้จะเปิดช่องให้ผู้รุกรานสามารถอัปเกรดสิทธิ์ในการเข้าถึงระบบได้โดยไม่ต้องได้รับอนุญาตจากผู้ดูแลตัวจริงก่อน ช่องโหว่นี้ครอบคลุมผู้ใช้งานปลั๊กอินดังกล่าวในทุกเวอร์ชัน รวมทั้งเวอร์ชัน 2.5.1 ด้วย

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นส่วนของกลไกการกำหนดเส้นทาง หรือ Routing Mechanics ที่ตามปกติจะมีการกำหนดเส้นทางที่มีความเปราะบางให้อยู่ในกรอบที่ต้องมีการยืนยันตัวตน (Authentication) ทุกครั้ง ภายใต้คำนำ (Prefix) "/api/modular-connector/" แต่ปัญหาที่เกิดขึ้นคือ ชั้นการรักษาความปลอดภัยชั้นนี้สามารถถูกหลบเลี่ยง (Bypass) ได้เมื่อโหมดของการรับส่งคำขอโดยตรง หรือ "Direct Request" ถูกเปิดใช้งานจากการตั้งค่าพารามิเตอร์ “Origin” ให้มีค่าว่า “Mo” และ พารามิเตอร์ “Type” เป็นค่าอะไรก็ได้ เช่น "origin=mo&type=xxx" ซึ่งการตั้งค่าพารามิเตอร์เช่นนี้นั้น จะทำให้กลไกกำหนดเส้นทางนั้นเข้าใจว่าคำขอดังกล่าวมาจากตัวปลั๊กอิน Modular DS โดยตรง

ซึ่งในส่วนนี้ จะทำให้แฮกเกอร์ที่เข้าถึงเว็บไซต์ที่มีการใช้งาน Modular DS สามารถเข้าถึงเส้นทางที่มีข้อมูลอ่อนไหว เช่น /login/, /server-information/, /manager/, และ /backup/ ได้ อันจะส่งผลให้แฮกเกอร์สามารถใช้ในการขโมยข้อมูล หรือ ใช้ข้อมูลต่าง ๆ ที่ขโมยมาเพื่อเข้าควบคุมเว็บไซต์ได้อย่างง่ายดาย ซึ่งการใช้งานช่องโหว่นี้เคยมีการถูกตรวจพบมาแล้วในช่วงวันที่ 13 มกราคม ที่ผ่านมา โดยเว็บไซต์ที่ตกเป็นเหยื่อนั้นได้รับรีเควส HTTP GET มาจากหมายเลขไอพี 45.11.89[.]19 และ 185.196.0[.]11 เข้าสู่ปลายทาง (Endpoints) "/api/modular-connector/login/" ตามมาด้วยความพยายามในการสร้างบัญชีผู้ดูแล (Admin หรือ Administrator) แสดงให้เห็นถึงอันตรายของช่องโหว่ความปลอดภัยนี้ได้อย่างชัดเจน

ทางแหล่งข่าวจึงได้ทำการเตือนให้ผู้ที่ใช้งานปลั๊กอินดังกล่าว ทำการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดในทันที พร้อมทั้งทำการตรวจสอบว่ามีบัญชีผู้ใช้งาน หรือผู้ดูแลแปลกปลอมอยู่บนระบบหรือไม่ ? ถ้ามีการตรวจพบให้ทำตามขั้นตอนเหล่านี้

ให้สร้าง WordPress Salts ซึ่งจะช่วยในการยกเลิกการใช้งาน Session ต่าง ๆ โดยอัตโนมัติในทันที

สร้างรหัส OAuth ใหม่

สแกนเว็บไซต์เพื่อหาไฟล์, ปลั๊กอิน, หรือ โคดที่ผิดปกติ

#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #wordpress #freedomhack

2/7 แก้ไขเป็น

... อ่านเพิ่มเติมจากประสบการณ์การดูแลเว็บไซต์ Wordpress ส่วนตัว การพบช่องโหว่บนปลั๊กอินต่าง ๆ นับเป็นเรื่องที่ผู้ดูแลระบบต้องใส่ใจอย่างมาก เพราะปลั๊กอินเหล่านี้แม้จะช่วยเพิ่มฟังก์ชันทำให้การจัดการเว็บไซต์ง่ายขึ้น แต่ก็เสี่ยงต่อการถูกโจมตีหากไม่ดูแลอย่างเหมาะสม กรณีช่องโหว่ CVE-2026-23550 บนปลั๊กอิน Modular DS ที่กล่าวถึงนี้ ผมขอแชร์วิธีป้องกันเบื้องต้นที่แนะนำให้เจ้าของเว็บไซต์ Wordpress ทำตามอย่างเข้มข้นครับ อย่างแรกเลยคือต้องเช็คว่าปลั๊กอิน Modular DS ที่ใช้เป็นเวอร์ชันล่าสุดหรือยัง เพราะทางผู้พัฒนาได้ออกอัปเดตเพื่อปิดช่องโหว่นี้แล้ว ถ้าไม่อัปเดตก็เหมือนเปิดประตูให้แฮกเกอร์เข้าโจมตีได้ง่าย ทั้งนี้ ต้องรักษาความปลอดภัยเสริมด้วยการตั้งค่า WordPress Salts ใหม่ เพราะจะช่วยรีเซ็ต session ต่าง ๆ ให้ออกจากระบบอัตโนมัติในกรณีที่มีผู้ไม่หวังดีล็อกอินเข้ามา และแนะนำให้ตรวจสอบสิทธิ์การเข้าถึงเว็บไซต์โดยละเอียด เช่น ลองสแกนหาไฟล์หรือรหัสที่แปลกปลอม รวมถึงตรวจสอบบัญชีผู้ดูแลระบบว่าไม่มีรายชื่อแปลกปลอมหรือบัญชีที่ไม่ได้ตั้งใจสร้างขึ้น อีกทั้งควรตั้งค่าพารามิเตอร์ Origin และ Type ในคำขอ API อย่างระมัดระวัง เพื่อป้องกันการเจาะระบบผ่านกลไกการกำหนดเส้นทางที่ถูกเจาะช่องโหว่ "Direct Request" ที่ทำให้แฮกเกอร์สามารถผ่านการยืนยันตัวตนได้ง่าย ๆ สุดท้าย ผมแนะนำให้ผู้ดูแลเว็บไซต์ติดตามข่าวสารด้านความปลอดภัยของ Wordpress และปลั๊กอินอย่างต่อเนื่อง รวมถึงมีแผนสำรองข้อมูล (Backup) ที่พร้อมใช้งาน เพื่อให้พร้อมกู้คืนเว็บไซต์ได้อย่างรวดเร็วเมื่อเกิดเหตุการณ์ฉุกเฉิน จากนี้ การดูแลเว็บไซต์ Wordpress จำเป็นต้องระมัดระวังมากขึ้น โดยเฉพาะกับปลั๊กอินที่ใช้งานซึ่งเป็นจุดอ่อนเสมอ ขอให้ทุกคนที่ใช้ Modular DS หรือปลั๊กอินอื่น ๆ รู้จักตรวจสอบและอัปเดตอย่างสม่ำเสมอนะครับ เพื่อปกป้องเว็บไซต์จากภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง

โพสต์ที่เกี่ยวข้อง

การพบช่องโหว่ ใน WordPress น่าจะเป็นเรื่องที่หลายคนชินกันแล้ว ล่าสุดมีการตรวจพบมัลแวร์ปลอมตัวเป็นปลั๊กอิน ที่มีชื่อว่า “DebugMaster Pro” สามารถลักลอบสร้างบัญชีระดับผู้ดูแลได้ #ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

ปัญหาปลั๊กอินของ WordPress มีช่องโหว่ ทำให้เว็บไซต์โดนเจาะนั้นมีออกมาเรื่อย ๆ ล่าสุดปลั๊กอิน Gravity Forms (ปลอม) ทำให้แฮกเกอร์ฝังมัลแวร์เข้าหลังบ้านได้ #ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

ภาพแสดงโลโก้ Notepad++ พร้อมสัญลักษณ์เตือนภัย และหน้าจอ changelog ของ Notepad++ v8.8.9 ที่ระบุการปรับปรุงความปลอดภัย โดยเฉพาะการตรวจสอบใบรับรองและลายเซ็นดิจิทัลของตัวติดตั้งอัปเดต เพื่อแก้ไขช่องโหว่ WinGUp ตามที่บทความกล่าวถึง.
ตรวจพบช่องโหว่บน Notepad++ เปิดช่องให้แฮกเกอร์
ตรวจพบช่องโหว่บน Notepad++ เปิดช่องให้แฮกเกอร์ติดตั้งมัลแวร์ผ่านทางอัปเดต แอปพลิเคชัน และซอฟต์แวร์ต่าง ๆ นั้นถึงแม้จะช่วยอำนวยความสะดวกให้กับผู้ใช้งาน แต่ก็มักจะมีบั๊ก และช่องโหว่ความปลอดภัยต่าง ๆ แฝงตัวอยู่มากมาย บางช่องโหว่ก็อันตรายมาก ดังเช่นในข่าวนี้ จากรายงานโดยเว็บไซต์ Cyber Security Ne
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 6 ครั้ง

ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีน.
ตรวจพบช่องโหว่บนคอมพิวเตอร์ของ Dell พบแฮกเกอร์จีนนำไปใช้ติดตั้งมัลแวร์ลงเครื่อง ซอฟต์แวร์สำหรับช่วยเหลือผู้ใช้งานคอมพิวเตอร์ที่เป็นซอฟต์แวร์เฉพาะของแต่ละแบรนด์นั้น มักจะมีฟีเจอร์ดี ๆ หลากหลายอย่าง แต่ถ้าซอฟต์แวร์เหล่านั้นมีช่องโหว่ ก็อาจจะก่อปัญหาที่คาดไม่ถึงได้ จากรายงานโดยเว็บไซต์ Cyberpres
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

ภาพพื้นหลังสีดำ มีสัญลักษณ์โล่สีฟ้าเรืองแสงพร้อมรูปกุญแจอยู่ตรงกลาง ล้อมรอบด้วยตัวเลขไบนารีและเส้นเชื่อมโยง แสดงถึงความปลอดภัยทางดิจิทัล ด้านล่างมีข้อความว่า "แอป Password Manager ดัง เจอช่องโหว่เสี่ยงโดนแฮก" และเครดิต Moon Shop.
ใครที่ใช้ Password Manager ต้องอ่านด่วน! นักวิจัยพบช่องโหว่ Clickjacking บนส่วนเสริม (extension) ของแอปดัง ๆ รวมกว่า 11 ตัว ที่มีผู้ใช้รวมกันเกือบ 40 ล้านคนทั่วโลก 🌍 📌 รายชื่อแอปที่ได้รับผลกระทบ 1Password → รับทราบปัญหาแล้ว Bitwarden → อยู่ระหว่างการแก้ไข Dashlane → อัปเดตล่าสุด แก้ไขแล้ว
NongMoon - น้องมูน

NongMoon - น้องมูน

ถูกใจ 1 ครั้ง

ภาพรวมการรีวิวที่นั่ง Premium Flex ของ AirAsia สำหรับเที่ยวบินในประเทศ แสดงให้เห็นที่นั่งบนเครื่องบิน เคาน์เตอร์เช็คอิน และป้ายบอกทาง
ขั้นตอนการเช็คอินที่สนามบินดอนเมือง อาคาร 2 ชั้น 3 ที่ Row 9 เคาน์เตอร์ 9C สำหรับ Premium Flex พร้อมโหลดกระเป๋า 11 กก. และป้ายบอกสิทธิ์ฟรีน้ำหนัก 7 กก. สำหรับ Carry on
บัตรโดยสาร AirAsia Premium Flex ที่ระบุ Zone 1 และภาพที่นั่ง 1A, 1B บนเครื่องบินที่กว้างขวาง มีพื้นที่เหยียดขามากที่สุด
✈️ บินในประเทศเลือกที่นั่ง Premium Flex คุ้มไหม ?
❤️ ต้องบอกก่อนว่าเราบินในประเทศบ่อยมาก แต่ยังไม่เคยลองที่นั่ง Premium Flex วันนี้เลยจะมารีวิวให้ดูว่าคุ้มไหมกับเงินที่จ่ายไป 4,xxx.- No spon! ✈️ เราบินกับ AirAsia เคาน์เตอร์เช็คอินในประเทศ (Domestic) จะอยู่ที่อาคาร 2 ชั้น 3 Row 9 จะเจอป้าย Premium Flex ก็เข้าไปเช็คอินที่เคาน์เตอร์ 9C ได้เลย เราโ
รีวิวไปเรื่อย�🧸

รีวิวไปเรื่อย🧸

ถูกใจ 123 ครั้ง

เมนูเดิม แต่ร้านใหม่ #ต้มเครื่องในวัวบังแอ #ต้มเนื้อ #ต้มพุงเนื้อ #ของอร่อยเพชรบุรี #เพชรบุรี
อยู่ด้วยกันแป๊บนึง

อยู่ด้วยกันแป๊บนึง

ถูกใจ 3 ครั้ง

เตรียมร่างกายให้พร้อม 3 ทริคดูแลตัวเอง
เตรียมร่างกายให้พร้อม 3 ทริคดูแลตัวเอง ช่วงนี้หลายคนมีแพลนเดินทางท่องเที่ยว หรือต้องใช้ชีวิตท่ามกลางผู้คนมากมาย สิ่งสำคัญที่จะช่วยให้เราลุยทุกกิจกรรมได้อย่างเต็มที่ คือการเตรียมร่างกายให้พร้อมอยู่เสมอ🏃‍♀️✈️ 💤 1. นอนพักผ่อนให้เพียงพอ: เพื่อให้ร่างกายได้ฟื้นฟูอย่างเต็มประสิทธิภาพ และรักษาสมดุลก
CRAFTRITION

CRAFTRITION

ถูกใจ 0 ครั้ง

TOP 5 Mbti ฉลาดแกมโกง 😈
อันดับ 1: ENTP – "The Master of Loopholes" (ราชาแห่งช่องโหว่) • ระดับความเจ้าเล่ห์: 10/10 • วิธีการ: เขาไม่ได้มอง "กฎ" ว่าเป็นข้อบังคับ แต่มองว่าเป็น "โจทย์" ที่ต้องหาทางแก้ ถ้ากฎบอกห้ามเดิน เขาก็จะปั่นจักรยานแทน ENTP เก่งที่สุดในการหาจุดอ่อนของระบบเพื่อค
1percentperday

1percentperday

ถูกใจ 51 ครั้ง

ภาพปกแสดงหัวข้อ “ART OF WAR Know Your Enemy” และตัวเลข “17” เด่นชัด พร้อมข้อความ “สัญญาณว่าคู่แข่งของคุณกำลังทำผิดพลาด และวิธีการใช้ประโยชน์จากจุดอ่อนนั้น” บนพื้นหลังลายคลื่นและมังกรสไตล์ญี่ปุ่น มีโลโก้ Lemon8 และแฮชแท็ก #SuccessStrategies.
17 สัญญาณ จับจุดอ่อนศัตรูเพื่อชัยชนะ ตามหลักซุนวู [Part 1/3]✨
นี้ 17 สัญญาณ ที่บ่งชี้ว่าคู่แข่งของคุณกำลังพลาดท่าและวิธีใช้ประโยชน์จากจุดอ่อนนั้น ตามหลักศิลปะการรบของซุนวู . ในการแข่งขันทางธุรกิจ การสังเกตความผิดพลาดของฝ่ายตรงข้ามและฉวยโอกาสจากช่องโหว่ของพวกเขาเป็นสิ่งสำคัญ ดังคำกล่าวของซุนวูว่า "รู้เขารู้เรา รบร้อยครั้งชนะร้อยครั้ง" หากเราสามารถระบ
Lhing🌸✨🍀

Lhing🌸✨🍀

ถูกใจ 3 ครั้ง

รัฐบาลจีนจัดระเบียบรถไฟฟ้าที่ส่งออกไปต่างประเทศ
รัฐบาลจีนเตรียมออกมาตรการใหม่ บังคับใช้ระบบขอใบอนุญาตสำหรับการส่งออกรถยนต์ไฟฟ้า (EV) ตั้งแต่ปีหน้า โดยจำกัดให้เฉพาะผู้ผลิตรถยนต์และบริษัทที่ได้รับอนุญาตเท่านั้นที่สามารถยื่นขอใบอนุญาตส่งออกอย่างเป็นทางการได้ มาตรการนี้มีเป้าหมายเพื่อควบคุมการส่งออกจากผู้ค้ารายย่อยที่ไม่ได้รับการรับรอง และรักษาความน
TheStructure

TheStructure

ถูกใจ 1 ครั้ง

ฟีเจอร์ไว้สำหรับป้องกันมือลั่นโดนเฉพาะ
Microsoft กำลังจะปรับโฉม Word for Windows ครั้งใหญ่ เพราะต่อไปนี้เอกสารใหม่ที่คุณสร้างจะถูกบันทึกขึ้นคลาวด์ให้อัตโนมัติโดยไม่ต้องกดเซฟเอง ฟีเจอร์นี้ดูเผิน ๆ คล้ายกับที่ Google Docs ใช้มานานแล้วซึ่งบันทึกงานอัตโนมัติบนเว็บ แต่ Word นั้นเป็นโปรแกรมที่ติดตั้งในเครื่องจริง ๆ การที่มันเปลี่ยนมาเก็บไฟล์ข
คอมคร้าบ

คอมคร้าบ

ถูกใจ 7 ครั้ง

ดูเพิ่มเติม