១. ព័ត៌មានទូទៅ
អ្នកស្រាវជ្រាវសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមកពី RIPS Technologies GmbH បានរកឃើញនូវចំនុចខ្សោយធ្ងន់ធ្ងរបំផុតមួយនៅក្នុងប្រព័ន្ធគ្រប់គ្រងវេបសាយឥតគិតថ្លៃ និងប្រភពកូដចំហរ (open-source) ដែលយើងស្គាល់ថា WordPress ។
អ្នកវាយប្រហារ ឬក៏អ្នកនិពន្ធដែលមានសិទ្ធិជា “author” ឬក៏គណនីដែលមានសិទ្ធិខ្ពស់ជាងនេះ អាចធ្វើការវាយលុកចូលទៅក្នុងប្រព័ន្ធ WordPress តាមការវាយប្រហារលើចំនុចខ្សោយ Cross-Site Request Forgery (CSRF) ដោយគ្រាន់តែបញ្ជោតអភិបាលគ្រប់គ្រងវេបសាយ WordPress ឱ្យបើកវេបសាយដែលបានបង្កប់កូដវាយប្រហារនឹងអាចឈានទៅដល់ការដំណើរការកូដពីចំងាយ (Remote Code Execution) បាន។
២. កំណែ ឬជំនាន់ដែលរងគ្រោះ
អ្នកដែលប្រើប្រាស់ WordPress កំណែទី 5.1 ឬក្រោមនេះ
៣. ផលប៉ៈពាល់
ការវាយលុកដោយជោគជ័យ នឹងអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការកូដពីចម្ងាយ ដើម្បីធ្វើការគ្រប់គ្រងទាំងស្រុងទៅលើវេបសាយដំណើរការដោយ WordPress។
៤. ដំណោះស្រាយ
អភិបាលគ្រប់គ្រងវេបសាយត្រូវធ្វើការអាប់ដេតទៅកាន់កំណែចុងក្រោយ Version 5.1.1 ជាបន្ទាន់ ហើយតាមដានបន្តដើម្បីធ្វើការអាប់ដេត ទៅលើកំណែថ្មី WordPress ដែលនឹងធ្វើការជួសជុលទៅលើចំនុចខ្សោយទាំងនេះ។
៥. វេបសាយពាក់ព័ន្ធ
- https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
- https://blog.ripstech.com/2019/wordpress-csrf-to-rce/
