lnwphp ทุก version 3.5-3.6 ล่าสุด
Impact - High
{root_path}/mainfile/?.php
- สามารถทำ Injection ได้อย่างน้อย 2 จุด
Impact - Critical
{root_path}/admin/?.php
- สามารถวาง Backdoor ใส่ในเว็ปไซต์ได้อย่างน้อย 3 จุด
Impact - Normal
tables > lp_admin , lp_member
- password เก็บเป็น MD5 สามารถ Crack ออกได้
ผลกระทบ
- สามารถได้สิทธิ Admin ของเว็ป / เครื่อง
คำแนะนำ
ทำการแก้ไข หรือเลิกใช้งานไปใช้ตัวอื่นแทน
ตั้งรหัสผ่านยาวๆ เข้าไว้
ตรวจเช็คเว็ปตัวเองบ้าง
ปล.
- แค่ออกมาเตือนให้ระวังกันไว้เฉย ๆ
- ไม่รับแก้ไข ไม่ต้อง Inbox มาครับ
- ถ้าผู้พัฒนาต้องการยรายละเอียดช่องโหว่เพื่อออกแพทซ์ Inbox มาได้ครับ
- งดดราม่าทุกกรณี และไม่ต้องการให้ยาวนะครับ ย้ำว่าแค่ออกมาเตือน
จาก ผู้พัฒนาเองเลยนะครับ
ก่อนอื่นขอบคุณมากๆครับ
และเดี่ยวผมติดต่อไปหานะครับ
เข้าเรื่องเลยนะครับ
อันนี้เป็นไปได้ครับที่จะถูก Injection วาง Backdoor และอื่นๆครับ
(เมื่อก่อนไม่คิดครับว่าจะมีคนนำไปใช้งานเยอะขนาดนี้ เลยไม่ได้ใส่ใจรายละเอียดมากครับ ยอมรับว่าผิดเองครับ)
เพราะยอดสั่งชื้อสคริปเป็นถูกต้องกับทางเว็บเลยนะครับ และสามารถอัพเดจได้นี้มีไม่ถึง 300 เว็บครับ
แต่ยอดเปิดใช้งาน สคริป มีถึง 2000+ เว็บไชต์ครับโดย Key ซ้ำๆกันก็มีครับ (ส่วนใหญ่มาจาก แบบไม่จำกัดโดเมน และ แบบไม่ Lock โค๊ต) เยอะด้วยครับ
ถ้าถามว่าเลิกสนใจไหม
อันนี้เลิกสนไปนานละครับ และไม่ อัพเดจให้ มาเป็นปีละครับ
จะมีแค่ลูกค้าใหม่ๆครับที่จะได้ V4 หรือ 3.6.3 ไปใช้งานครับ นอกนั้นผม ยอมรับ ว่าลอยแแพครับ
V4 ล้างโค๊ตเขียนใหม่หมด ด้วย Framework PIPe MVC พร้อม App มือถือ (ขายให้องกรณ์)
V3.6.2 เพิ่มฟังชั้นต่างๆที่เกี่ยวกับ Injection และ XSS เข้าไป แต่ผมเองก็ไม่แน่ใจว่ากันได้หมดไหม
V3.6.3 เพิ่มส่วนต่างๆเกี่ยวกับ Keylock และรีโค๊ตใหม่บางจุดเองครับ
ส่วนคนที่โดนแล้วติดต่อมาหาทางเว็บผู้พัฒนา
ทางผู้พัฒนาเองก็ยินดีอัพเดจให้ครับ ไม่ได้ปิดกั้นครับ
แต่คนที่โดนส่วนใหญ่เท่าที่เจอ
จะไม่มีในรายการสั่งชื้อของเว็บผมนะครับ และมาขออัพเดจฟรีๆ
อันนี้ทางผมก็คงไม่ให้อัพเดจนะครับ
ต้องหาทางแก้ไขเอาเองนะครับ (ขออภัยด้วยครับ)
ส่วนใครชื้อจริงถ้าโดนก็ติดต่อมาได้เลยครับ พร้อมแก้ไขให้ครับ
เพราะเท่าที่ดูจากระบบ วันนี้ 2017-11-17 ก็มีคนเปิดใช้งานไปอีก 9 ครั้ง
จะสั่งชื้อหรือไม่อันนี้ไม่รู้ครับ
ผมเองกล้าพูดได้เลยครับ Script นี้ทางผมเองก็โดนก็อปไปขายต่อไปแจกต่อเยอะครับ
เปิดใช้งานทุกวันไม่ต่ำกว่าวันละ 10 เว็บครับ
(อันนี้น่าจะไม่ได้ชื้อกับทางผมเพราะไม่มีรายการสั่งชื้อเข้านานละครับ)
หากจะมาบอกว่าทำไม่ไม่อัพเดจหรืออะไรเทือกๆนี้ ผมอัพเดจให้ครับ แต่อัพให้แค่คนที่ชื้อจริงๆครับ
สุดท้ายก็ขอบคุณมากๆเลยครับ
ทางผมเองจะได้นำไปพัฒนาแก้ไขต่อไปครับ