เมื่อวันที่ 18 สิงหาคม 2023 ทางทีม Wordfence ได้พบ 2 ช่องโหว่ในปลั๊กอิน Essential Blocks ซึ่งเป็นปลั๊กอินสำหรับ WordPress และในตอนนี้มีการติดตั้งปลั๊กอินนี้ไปแล้วกว่า 1 แสนเว็บไซต์
ช่องโหว่ที่ 1 ช่องโหว่ PHP Object Injection
ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถแทรกโค้ด PHP ลงไป ทำให้สามารถลบไฟล์ หรือดึงข้อมูลที่สำคัญๆ รวมไปถึงสั่งรันโค้ดที่เป็นอันตรายได้
- หมายเลขช่องโหว่: CVE-2023-4402
- เวอร์ชันที่ได้รับผลกระทบ: ตั้งแต่เวอร์ชัน 4.2.0 ลงไป (สำหรับตัว Free) และ ตั้งแต่เวอร์ชัน 1.1.0 (สำหรับเวอร์ชัน Pro)
- ระดับความรุนแรง: 8.1 (ระดับสูง)
ช่องโหว่ที่ 2 ช่องโหว่ PHP Object Injection ผ่าน Products
ช่องโหว่นี้ก็เหมือนกับช่องโหว่ที่ 1 แต่จะออยู่ใน function get_input ซึ่งหากการโจมตีสำเร็จ แฮกเกอร์ก็จะสามารถลบไฟล์ ขโมยข้อมูล และสั่งรันโค้ดได้เหมือนกับช่องโหว่ที่ 1 เลย
- หมายเลขช่องโหว่: CVE-2023-4402
- เวอร์ชันที่ได้รับผลกระทบ: ตั้งแต่เวอร์ชัน 4.2.0 ลงไป (สำหรับตัว Free) และ ตั้งแต่เวอร์ชัน 1.1.0 (สำหรับเวอร์ชัน Pro)
- ระดับความรุนแรง: 8.1 (ระดับสูง)
เบื้องต้นทางทีม Wordfence ได้แจ้งไปยังทีมผู้พัฒนาปลั๊กอินแล้ว และได้ออกแพตช์แก้ไขแล้ว คือ เวอร์ชัน 4.2.1 (สำหรับตัว Free) และเวอร์ชัน 1.1.1 (สำหรับเวอร์ชัน Pro) เมื่อวันที่ 29 สิงหาคม 2023
ดังนั้น เพื่อเป็นการป้องกันการโจมตี แนะนำให้ทำการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด
ที่มา: Wordfence
