เมื่อประมาณต้นเดือนกรกฎาคมที่ผ่านมา ได้มีการพบช่องโหว่ในปลั๊กอิน All-in-One WP Migration ซึ่งเป็นปลั๊กอินสำหรับ WordPress โดยในตอนนี้มีผู้ติดตั้งปลั๊กอินนี้ไปแล้วกว่า 5 ล้านเว็บไซต์
ปลั๊กอิน All-in-One WP Migration (Free Version) เป็นปลั๊กอินที่ใช้สำหรับโอนย้ายข้อมูล เนื่องจากใช้งานง่าย และปลั๊กอินนี้ยังมีส่วนเสริมเพื่อใช้งานร่วมกับ Third-Party อย่าง Box, Google Drive, OneDrive and Dropbox จึงทำให้ได้รับความนิยมใช้งานเป็นจำนวนมาก
สำหรับช่องโหว่ที่พบนี้จะช่วยให้แฮกเกอร์สามารถข้ามผ่านหรือยกระดับสิทธิ์ เข้าไปจัดการโอนย้ายข้อมูลเว็บไซต์ ไปยังที่อื่น หรือกู้คืนข้อมูลที่ที่เก็บสำรองไว้ได้ ซึ่งหากแฮกเกอร์ทำการโจมตีสำเร็จ อาจขโมยข้อมูลที่สำคัญๆ ของผู้ใช้ หรือเว็บไซต์ได้
แต่การที่แฮกเกอร์จะโจมตีสำเร็จได้นั้น จะทำได้ก็ต่อเมื่อมีการใช้ปลั๊กอิน All-in-One WP Migration ในระหว่างการย้ายข้อมูลเท่านั้น อย่างน้อยก็เบาใจได้หน่อยนึง แต่ก็อย่าชะล่าใจไปนะคะ
สำหรับผู้ค้นพบช่องโหว่นี้คือ Rafie Muhammad นักวิจัยของ PatchStack โดยมีหมายเลขช่องโหว่ คือ CVE-2023-40004
เพื่อเป็นการป้องกันทางเราแนะนำให้ทำการอัปเดตปลั๊กอิน All-in-One WP Migration เป็นเวอร์ชันล่าสุดคือ เวอร์ชัน 7.78 สำหรับผู้ที่มีการใช้งานส่วนเสริมที่ได้รับผลกระทบ ดังต่อไปนี้ ก็ควรอัปเดตให้เป็นเวอร์ชันล่าสุดด้วย
- Box Extension: v1.54
- Google Drive Extension: v2.80
- OneDrive Extension: v1.67
- Dropbox Extension: v3.76
ที่มา: Bleeping Computer, Patchstack
