Wordfence ได้ออกมาแจ้งเตือนถึงช่องโหว่ปลั๊กอิน WPML ซึ่งเป็นปลั๊กอินสำหรับ WordPress ซึ่งช่องโหว่นี้จะช่วยให้แฮกเกอร์ทำการโจมตีแบบ Remote Code Execution (RCE) ทำให้สั่งรันโค้ดระยะไกลได้
ปลั๊กอิน WPML เป็นปลั๊กอินที่ช่วยในการแปลภาษาซึ่งได้รับการติดตั้งบนเว็บไซต์ WordPress ไปแล้วกว่า 1 ล้านเว็บ
ช่องโหว่นี้จะช่วยให้แฮกเกอร์เข้าถึงข้อมูลสำคัญ และควบคุมเว็บไซต์ได้โดยไม่ต้องใช้สิทธิ์ระดับแอดมิน อีกทั้งยังสามารถแก้ไขเนื้อหาบนเว็บไซต์ รวมไปถึงเปลี่ยนชื่อบัญชีผู้ใช้ แล้วยกตัวเองเป็นแอดมินแทน
รายละเอียดของช่องโหว่นี้มีดังนี้
หมายเลขช่องโหว่ – CVE-2024-6386
ระดับความรุนแรง – 9.9 (สูง)
เวอร์ชันที่ได้รับผลกระทบ – ตั้งแต่ 4.6.12 ลงไป
ปัญหาของช่องโหว่นี้อยู่ที่การจัดการโค้ดที่ใช้ในการแทรกเนื้อหาของโพสต์ เช่น เสียง รูปภาพ และวิดีโอของปลั๊กอินนี้ โดยเฉพาะ หากมีการใช้เทมเพลต Twig ในการแสดงเนื้อหาผ่านทาง shortcode จะไม่สามารถรับข้อมูลที่ใส่เข้ามาได้ ทำแฮกเกอร์สามารถโจมตีแบบ Server-Side Template Injection (SSTI) ได้
เพื่อป้องกันการโจมตี แนะนำให้ทำการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดคือ 4.6.13 อีกทั้งเจ้าของเว็บไซต์ควรตรวจสอบความปลอดภัยของระบบอย่างสม่ำเสมอ หมั่นอัปเดตปลั๊กอิน และธีม เพื่อป้องกันการตกเป็นเป้าหมายของการโจมตี
ที่มา – The Hacker News, Wordfence
