พบการโจมตีแบบ cross-site scripting attacks (XSS) ผ่านปลั๊กอิน Advanced Custom Fields และ Advanced Custom Fields Pro ซึ่งเป็นปลั๊กอินสำหรับ WordPress
การโจมตีนี้ถูกค้นพบโดย Rafie Muhammad นักวิจัยจาก Patchstack เมื่อวันที่ 2 พฤษภาคมที่ผ่านมา
ซึ่งช่องโหว่ที่เกิดขึ้นในปลั๊กอินนี้จะช่วยให้แฮกเกอร์ไม่ต้องได้รับการตรวจสอบสิทธิ์ทำให้แฮกเกอร์สามารถขโมยข้อมูลที่สำคัญและเข้ายึดเว็บไซต์ได้
โดยแฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ของปลั๊กอิน ทำการโจมตีแบบ XSS จากนั้นก็จะวางสคริปต์ที่เป็นอันตรายลงบนเว็บ เมื่อมีผู้เข้าชมเว็บ แฮกเกอร์จะสั่งรันโค้ดบนเบราว์เซอร์ของผู้ใช้ทันที
หมายเลขของช่องโหว่นี้คือ CVE- 2023-30777 ซึ่งจะส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 6.1.5 ลงไป รวมไปถึงเวอร์ชันฟรีและ Pro ด้วย
ล่าสุดทางผู้พัฒนาปลั๊กอินหลังจากได้รับการแจ้ง ก็ได้ทำการออกเวอร์ชันอัปเดต 6.1.6 ในวันที่ 4 พฤษภาคม 2023
และในตอนนี้พบว่า มีการติดตั้งปลั๊กอินนี้ไปแล้วกว่า 2 ล้านเว็บไซต์ และจากสถิติการดาวน์โหลด 72.1% ยังใช้เวอร์ชันที่ต่ำกว่า 6.1 อยู่ ดังนั้นเพื่อเป็นการป้องกันการโจมตี แนะนำให้อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดคือ เวอร์ชัน 6.1.6
ที่มา: Bleeping Computer, Patchstack
