พบช่องโหว่ปลั๊กอิน Email Subscribers & Newsletters plugin บน WordPress

นักวิจัยจาก Tenable ได้พบช่องโหว่ในปลั๊กอิน Email Subscribers & Newsletters plugin บน WordPress ช่องโหว่นี้จะช่วยให้แฮกเกอร์ส่งอีเมลปลอมไปรายชื่อผู้ติดต่อหรือสมาชิก โดยสามารถเปลี่ยนแปลงหัวเรื่องและเนื้อความในจดหมายได้

โดยแฮกเกอร์จะส่งคำขอผ่าน ajax ที่สร้างขึ้นเพื่อหลอกแล้วเข้าไปสร้างจดหมายและกำหนดเวลาส่งอีเมลทักทายใหม่ เมื่อแก้ไขทุกอย่างเรียบร้อยแล้วจะส่งทันทีภายใน 1 นาที

หมายเลขช่องโหว่นี้คือ CVE-2020-5780 โดยมีระดับความรุนแรงอยู่ที่ 7.5 ช่องโหว่นี้ส่งผลกระทบ ปลั๊กอิน Email Subscribers & Newsletters plugin ตั้งแต่เวอร์ชั่น 4.5.5 ลงไป เพื่อเป็นการป้องกันการโจมตีแนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ 4.5.6

ที่มา : Tenable