พบช่องโหว่ในปลั๊กอิน The Plus Addons for Elementor ปลั๊กอิน Premium ที่มีเว็บไซต์ใช้งานกว่า 3 หมื่นเว็บ โดยช่องโหว่นี้จะทำให้แฮกเกอร์สามารถสร้างบัญชี admin ขึ้นมาใหม่ได้หากเว็บไซต์นั้นเปิดใช้งานการลงทะเบียนและการเข้าสู่ระบบ เพื่อเข้าไปติดตั้งปลั๊กอินที่เป็นอันตรายหรือทำการยึดเว็บ ช่องโหว่นี้จะมีผลกับปลั๊กอิน The…
WordPress ได้ออกมาประกาศว่าจะยกเลิกการ support การใช้งาน WordPress บนเบราว์เซอร์ Internet Explorer 11 (IE11) ภายในวันที่ 18 มีนาคม 2564 เนื่องจากจำนวนยอดการใช้งาน WordPress บนเบราว์เซอร์ดังกล่าวลดลงเหลือต่ำกว่า…
พบช่องโหว่ในปลั๊กอิน WooCommerce Upload Files ปลั๊กอิน Premium เสริมของปลั๊กอิน WooCommerce ที่มีเว็บไซต์ใช้งานกว่า 5 พันเว็บ โดยช่องโหว่นี้เกิดจากฟังก์ชัน ajax_manage_file_chunk_upload ที่เมื่อมีการอัปโหลดไฟล์จะทำการตรวจสอบชื่อไฟล์ว่าไฟล์ดังกล่าวอยู่ในลิสต์ไฟล์ที่เป็นอันตรายหรือไม่ ปกติแล้วถ้าใช่ก็จะทำการลบไฟล์ออกไป แต่กลายเป็นว่าไปเปลี่ยนนามสกุลของไฟล์แทน ซึ่งแฮกเกอร์จะใช้ช่องโหว่นี้อัปโหลดไฟล์ที่เป็นอันตรายลงไป…
พบช่องโหว่ในปลั๊กอิน User Profile Picture ที่มีเว็บไซต์ WordPress ใช้งานกว่า 6 หมื่นเว็บ โดยช่องโหว่นี้เกิดจาก REST API ในฟังก์ชัน upload_file ที่เมื่อมีการใช้ Guternberg เพิ่มบล็อกไปยัง…
Script Concatenation เป็นฟังก์ชันการรวมไฟล์ JavaScript หลายไฟล์ไว้เป็นไฟล์เดียวกันใน WordPress ทำให้เว็บเบราว์เซอร์ สามารถแสดงผลหน้าเว็บได้เร็ว และมีประสิทธิภาพมากขึ้น (พูดง่ายๆ คือเว็บจะโหลดเร็วขึ้นนั่นเอง) แต่การเปิดใช้ฟังก์ชันนี้อาจไปทับกับปลั๊กอินเพิ่มประสิทธิภาพตัวอื่นอย่าง WP Rocket หรือ Autoptimize เนื่องจากมีฟังก์ชั่นบางตัวที่ทำงานเหมือนกันจนอาจทำให้เกิด…
พบช่องโหว่ในปลั๊กอิน Ninja Forms ที่มีเว็บไซต์ WordPress ใช้งานกว่า 1 ล้านเว็บ โดยมีช่องโหว่อยู่ 4 ช่องโหว่ที่อาจทำให้แฮกเกอร์เข้ามายึดเว็บของเราได้ ช่องโหว่แรก จะเป็นการใช้ปลั๊กอิน SendWP ร่วมกับปลั๊กอิน Ninja Forms…
Elementor ได้ออกมาประกาศว่าจะมีการปรับราคาของแต่ละ Plan สำหรับลูกค้าใหม่ในวันที่ 9 มีนาคม 2564 จะเห็นว่า Plan สำหรับ 1,000 เว็บใน Expert Plan 199$/ปี ณ ตอนนี้…
พบช่องโหว่ในปลั๊กอิน NextGEN Gallery ที่มีเว็บไซต์ WordPress ใช้งานกว่า 8 แสนเว็บ โดยมีช่องโหว่อยู่ 2 ช่องโหว่ ในช่องโหว่แรกจะอยู่ในฟังก์ชัน is_authorized_request ที่ทำให้แฮกเกอร์เพิ่มลิงก์ที่เป็นอันตรายลงไปในเว็บของเรา ส่วนอีกช่องโหว่จะอยู่ในฟังก์ชัน validate_ajax_request ที่แฮกเกอร์จะส่งคำขอการอัปโหลดรูปที่ดูเหมือนไฟล์รูปธรรมดาทั่วไป…
พบช่องโหว่ในปลั๊กอิน Popup Builder ที่มีเว็บไซต์ใช้งานกว่า 2 แสนเว็บ โดยช่องโหว่นี้เกิดจากไฟล์ importConfigView.php ที่ไม่ได้มีการตรวจสอบสิทธิ์ของผู้ใช้ ทำให้แฮกเกอร์สามารถเข้าถึงไฟล์ดังกล่าวเพื่อจัดการกับรายชื่อสมาชิก เพิ่มไฟล์ที่เป็นอันตรายจาก URL ลงไป รวมไปถึงการเปลี่ยนเนื้อหาของจดหมายได้อีกด้วย ช่องโหว่นี้จะมีผลกับปลั๊กอิน Popup Builder…