ปลั๊กอิน WooCommerce Stock Manager มีช่องโหว่เสี่ยงถูกยึดทั้งเว็บ

เมื่อวันที่ 21 พฤษภาคมที่ผ่านมาทีม Wordfence Threat Intelligence ได้พบช่องโหว่ในปลั๊กอิน WooCommerce Stock Manager ช่องโหว่ที่พบนี้จะช่วยให้แฮกเกอร์อัปโหลดไฟล์ที่เป็นอันตรายลงบนเว็บ และสั่งรันโค้ดจากระยะไกลเพื่อเข้ายึดเว็บไซต์ได้

ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอิน WooCommerce Stock Manager ตั้งแต่เวอร์ชัน 2.5.7 ลงไป หมายเลขช่องโหว่ CVE-2021-34619 โดยมีระดับความรุนแรงอยู่ที่ 8.8

ช่องโหว่นี้เกิดจากฟังก์ชันการนำเข้า ซึ่งฟังก์ชันนี้ไม่มีการตรวจสอบความถูกต้องหรือแหล่งที่มาของคำขอ แฮกเกอร์จึงใช้ช่องโหว่นี้ส่งคำขอเพื่ออัปโหลดไฟล์เพื่อหลอกให้ผู้ดูแลระบบคลิกลิงก์ที่ส่งไป ส่งผลให้เว็บไซต์ติดไวรัส เมื่อแฮกเกอร์ทำสำเร็จก็จะเข้ายึดเว็บไซต์อย่างสมบูรณ์

เบื้องต้นทางทีม Wordfence ได้แจ้งไปยังผู้พัฒนาให้ทราบเป็นที่เรียบร้อยแล้ว และทางทีมผู้พัฒนาได้ออกแพตช์ออกเพื่ออุดช่องโหว่แล้วเมื่อวันที่ 28 พฤษภาคม

ดังนั้นเพื่อเป็นการป้องกัน ผู้ใช้ควรทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดทันที ซึ่งก็คือเวอร์ชัน 2.6.0

ที่มา Wordfence