ตรวจพบช่องโหว่บน Plugin ของ WordPress

ทาง Sucuri ได้ออกมาแจ้งเกี่ยวกับช่องโหว่ของ Plugin บน WordPress ช่องโหว่บนปลั๊กอินเหล่านี้จะช่วยให้แฮกเกอร์ทำการโจมตีแบบ Cross-site scripting ได้

สำหรับปลั๊กอินที่มีปัญหาได้แก่

Plugin Vulnerability Patched VersionInstalls
Elementor Page BuilderAuthenticated Stored XSS2.9.105000000
AdRotate Authenticated SQL Injection 5.8.4 40000
Brizy - Page Builder Improper Access Controls 1.0.12660000
Careerfy Unauthenticated XSS3.9.0 5000
SportsPress Authenticated Stored XSS 2.7.2 20000
JobSearch Unauthenticated XSS1.5.1 5000
Newspaper Unauthenticated XSS 10.3.4 6000
Multi Scheduler Record Deletion CSRF-- 20

นอกจากนี้ยังมีปลั๊กอิน Sportspress เวอร์ชั่น 2.7.2 ที่พบปัญหาช่องโหว่ที่ทำให้ที่อนุญาตให้แฮกเกอร์วางสคริปต์ที่เป็นอันตรายลงในเว็บไซต์ได้

ส่วนปลั๊กอินที่ได้รับการแก้ไขช่องโหว่แล้ว คือ ปลั๊กอิน AdRotate ได้ทำการแก้ไขปัญหาช่องโหว่ที่เกิดขึ้นในเวอร์ชั่น 5.8.4 ช่องโหว่นี้จะช่วยให้แฮกเกอร์ฉีด SQL ไปยังปลั๊กอินนี้ได้ แต่ก็ถือว่ายังโชคดีที่ไม่พบรายงานการโจมตีจากช่องโหว่นี้

แนะนำให้ทำการตรวจสอบปลั๊กอินที่ติดตั้งอัปเดตเป็นเวอร์ชั่นล่าสุดแล้วหรือยัง หากยังรีบทำการอัปเดตเพื่อเป็นการป้องกัน สำหรับปลั๊กอินที่ยังไม่ได้รับการแก้ไขช่องโหว่ อาจต้องถอนการติดตั้งชั่วคราวจนกว่าแพตช์อัปเดตจะมา

ที่มา Sucuri