พบช่องโหว่ในปลั๊กอิน Pop-Up Builder Plugin ใน Wordpress

มีการพบช่องโหว่ในปลั๊กอิน Pop-Up Builder Plugin จะช่วยให้แฮกเกอร์ส่งสแปมเมล และลบสมาชิกที่สมัครรับจดหมายได้

ช่องโหว่นี้เกิดจากไม่มีการตรวจสอบสิทธิ์ด้วย AJAX บนไฟล์ importConfigView.php ทำให้แฮกเกอร์สามมารถโจมตีจาก URL ระยะไกลได้

แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการแก้ไข เปลี่ยนแปลงเนื้อหาในจดหมายข่าว ทำการส่งจดหมายที่เป็นสแปมเมลไปยังสมาชิกได้

นอกจากนี้ยังสามารถเข้าไปลบหรือเพิ่มบัญชีสมาชิกได้อีกด้วย

ช่องโหว่นี้ถูกค้นพบเมื่อวันที่ 2 ธันวาคม 2020 โดยมีผลกระทบกับ Pop-Up Builder Plugin เวอร์ชั่น 3.72 ลงไป ดังนั้นเพื่อเป็นการป้องกันแนะนำให้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุด คือเวอร์ชั่น 3.74

ที่มา: Threatpost