พบการโจมตีผ่านปลั๊กอิน HTML Email Template Designer สำหรับ WordPress

เมื่อวันที่ 23 ธันวาคม 2021 ทางทีม Wordfence Threat Intelligence ได้พบการโจมตีผ่านปลั๊กอิน WordPress Email Template Designer – WP HTML Mail ซึ่งเป็นปลั๊กอินสำหรับ WordPress
ปลั๊กอินนี้เป็นปลั๊กอินที่ถูกออกแบบมาเพื่อให้ผู้ใช้สามารถทำการออกแบบรูปแบบอีเมลด้วยตัวเองได้ โดยปลั๊กอินนี้สามารถใช้งานได้กับปลั๊กอินอื่นๆ ได้ อาทิเช่น WooCommerce, Ninja Forms, BuddyPress, และอื่นๆ อีกมากมาย
แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ในปลั๊กอินนี้ทำการโจมตีแบบ cross-site scripting จากนั้นทำการแทรก JavaScript สคริปต์ที่เป็นอันตรายลงใน Template ของอีเมล เพื่อเปลี่ยนเส้นทางไปยังเว็บไซต์อันตราย หรือสร้าง Backdoor ลงในไฟล์หรือธีม หรือทำการส่งอีเมลสแปมเพื่อหลอกลวงผู้อื่นได้เป็นต้น

หมายเลขช่องโหว่นี้คือ CVE-2022-0218 ระดับความรุนแรงคือ 8.3 (สูง) ซึ่งมีผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 3.0.9 ลงไป

เบื้องต้นทางทีม Wordfence ได้ดำเนินการแจ้งเกี่ยวกับช่องโหว่นี้ไปยังผู้พัฒนาแล้ว ซึ่งทางผู้พัฒนาได้ออกแพทช์อัปเดตคือเวอร์ชัน 3.1 เมื่อวันที่ 13 มกราคม 2022 ที่ผ่านมา
ดังนั้นเพื่อเป็นการป้องกัน แนะนำให้ผู้ใช้ทำการอัปเดตปลั๊กอินนี้เป็นเวอร์ชันล่าสุด

ที่มา Wordfence