พบช่องโหว่ใน 3 ปลั๊กอินสำหรับ Wordpress ทำให้แฮกเกอร์เข้ายึดเว็บไซต์ได้

3-plugin-Vulnerability
เมื่อวันที่ 5 พฤศจิกายน 2021 ทีม Wordfence Threat Intelligence ได้พบช่องโหว่ในปลั๊กอิน Login/Signup Popup ซึ่งมีการติดตั้งไปแล้วกว่า 20,000 เว็บไซต์
2-3 วันต่อมาก็ได้พบช่องโหว่ในปลั๊กอิน Side Cart Woocommerce (Ajax) โดยมีการติดตั้งไปแล้วกว่า 60,000 เว็บไซต์ และปลั๊กอิน Waitlist Woocommerce (Back in stock notifier) มีการติดตั้งไปแล้วกว่า 4,000 เว็บไซต์
ช่องโหว่นี้จะช่วยให้เแฮกเกอร์ทำการโจมตีแบบ Cross-Site Request Forgery ส่งผลให้แฮกเกอร์สามารถเข้ามาอัปเดตเปลี่ยนการตั้งค่าผู้ลงทะเบียนจาก user ไปเป็น admin แล้วทำการเข้ายึดเว็บไซต์ได้

หมายเลขช่องโหว่คือ CVE-2022-0215 ระดับความรุนแรงคือ 8.8 ส่งผลกระทบกับปลั๊กอิน Login/Signup Popup ตั้งแต่เวอร์ชัน 2.2 ลงไป, ปลั๊กอิน Side Cart Woocommerce (Ajax) ตั้งแต่เวอร์ชัน 2.5.1 ลงไป และปลั๊กอิน Waitlist Woocommerce (Back in stock notifier) ตั้งแต่เวอร์ชัน 2.0 ลงไป

เบื้องต้นทางทีม Wordfence ได้แจ้งไปยังผู้พัฒนาปลั๊กอินเหล่านี้แล้ว ซึ่งทางทีมผู้พัฒนาปลั๊กอิน Login/Signup Popup ได้ออกเวอร์ชันอัปเดตแล้วเมื่อวันที่ 24 พฤศจิกายน 2021 ที่ผ่านมา
ส่วนปลั๊กอิน Side Cart Woocommerce (Ajax) กับปลั๊กอิน Waitlist Woocommerce (Back in stock notifier) ได้ออกเวอร์ชันอัปเดตไปเมื่อวันที่ 17 ธันวาคม 2021
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ผู้ใช้ทำการอัปเดตปลั๊กอินทั้ง 3 นี้ให้เป็นเวอร์ชันล่าสุด