เว็บไซต์กว่า 8 แสนเว็บ ยังคงได้รับผลกระทบจากช่องโหว่ปลั๊กอิน All In One SEO

All In One SEO

จากที่มีการพบ 2 ช่องโหว่ในปลั๊กอิน All In One SEO ซึ่งได้แก่ ช่องโหว่ที่ช่วยยกระดับสิทธิ์ผู้ใช้ (Authenticated Privilege Escalation หมายเลขช่องโหว่ CVE-2021-25036) และช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถแทรก SQL ที่เป็นอันตรายได้ (Authenticated SQL Injection  หมายเลขช่องโหว่ CVE-2021-25037) ซึ่งในปัจจุบันนี้ปลั๊กอินนี้ได้รับการติดตั้งไปแล้วกว่า 3 ล้านเว็บไซต์

ทั้งสองช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 4.0.0 จนถึง 4.1.5.2

ทางผู้พัฒนาปลั๊กอินได้ทำการอัปเดตออกแพตช์เพื่ออุดช่องโหว่นี้ไปแล้วเมื่อวันที่ 7 ธันวาคมที่ผ่านมา แต่อย่างไรก็ดี จากการตรวจสอบพบว่า ยังมีเว็บไซต์กว่า 820,000 เว็บ ที่ยังไม่ได้ทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุด ส่งผลให้ยังมีการโจมตีอยู่เรื่อยๆ

ปลั๊กอิน All In One SEO นี้ถือว่าเป็นปลั๊กอินที่นิยมใช้กัน ดูจากสถิติในช่วง 2 สัปดาห์ที่ผ่านมา ยังคงมีผู้ใช้งานดาวน์โหลดอยู่เรื่อยๆ

วันที่ดาวน์โหลด
2021-12-07336,738
2021-12-081,403,672
2021-12-0968,941
2021-12-1045,392
2021-12-1131,346
2021-12-1226,677
2021-12-1335,666
2021-12-1434,938
2021-12-1572,301
2021-12-1628,672
2021-12-1724,699
2021-12-1818,774
2021-12-1917,972
2021-12-2025,388
ทั้งหมด2,171,176

ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตปลั๊กอิน All In One SEO เป็นเวอร์ชันล่าสุด คือเวอร์ชัน 4.1.5.3

ที่มา: Bleeping Computer