ผู้เชี่ยวชาญทางด้านความปลอดภัยของบริษัท Defiant ได้พบช่องโหว่ที่เกิดจากปลั๊กอิน “Total Donations” ช่องโหว่นี้เกิดจาก AJAX endpoint ที่อยู่ในไฟล์ของปลั๊กอิน ทำให้แฮกเกอร์สามารถเรียกใช้คำสั่งจากไฟล์ได้โดยตรง และสามารลบปลั๊กอินด้านความปลอดภัยของเว็บทั้งหมด
แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เปลี่ยนค่าที่ตั้งไว้ในเว็บไซต์ WordPress, เปลี่ยนการตั้งค่าปลั๊กอิน, แก้ไขบัญชีปลายทางที่ได้รับบริจาคผ่านทางปลั๊กอิน และรับรายชื่ออีเมลจาก Mailchimp
หมายเลขช่องโหว่ที่พบนี้คือ CVE-2019-6703 การโจมตี zero-day นี้มีผลกระทบกับปลั๊กอิน “Total Donations” ทุกเวอร์ชั่น โดยซื้อปลั๊กอินนี้มาจาก CodeCanyon ในช่วงหลายปีที่ผ่านมา
ได้มีการเผยแพร่การโจมตีนี้เมื่อประมาณวันศุกร์ที่ผ่านมา และทาง Defiant ได้พยายามติดต่อไปยังผู้พัฒนาปลั๊กอิน แต่ก็ยังไม่มีการตอบกลับมา ผู้พัฒนาเว็บไซต์หลายคนแจ้งว่าปลั๊กอินนี้ไม่ได้รับการอัปเดตปลั๊กอินนี้มาตั้งแต่ประมาณเดือนพฤษภาคม 2018 แล้ว และรายการสินค้าของปลั๊กอิน CodeCanyon ก็ถูกปิดการใช้งานในช่วงเวลาเดียวกันอีกด้วย
สำหรับรายงานรายละเอียดทั้งหมดที่เกี่ยวกับการโจมตีนี้สามารถดูได้ที่ https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/
ที่มา: ZDNet
