Wordfence ได้ตรวจพบช่องโหว่ที่สามารถสร้างผู้ดูแลระบบได้โดยไม่ต้องยืนยันตัวตนในปลั๊กอิน OttoKit ซึ่งมีการติดตั้ง และใช้งานอยู่มากกว่า 1 แสนเว็บไซต์
OttoKit: All-in-One Automation Platform (ก่อนหน้านี้จะใช้เป็นชื่อ SureTriggers) เป็นปลั๊กอินสำหรับ WordPress ที่ช่วยให้เราสร้างระบบทำงานอัตโนมัติระหว่างเว็บไซต์ แอปพลิเคชัน และปลั๊กอินต่าง ๆ ได้โดยที่ไม่ต้องเขียนโค้ดเอง เช่น เมื่อมีคนกรอกฟอร์มสมัครสมาชิกแล้วจะเพิ่มข้อมูลเข้า Mailchimp โดยอัตโนมัติ หรือเมื่อมีออเดอร์ใหม่ใน WooCommerce ก็จะส่งการแจ้งเตือนไปที่ Slack ในทันที
ช่องโหว่ที่พบได้ถูกระบุในรหัส CVE-2025-3102 มีระดับความรุนแรงอยู่ที่ 8.1 (สูง) เกิดจากการใช้งานปลั๊กอินโดยที่ยังไม่ได้ตั้งค่า API Key ทำให้แฮกเกอร์สามารถใช้ช่องโหว่นี้ในการสร้างบัญชีผู้ดูแลระบบ (admin) และเข้าควบคุมเว็บได้ (เช่น ยึดเว็บ ฝังมัลแวร์ หรือเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บอันตรายได้)
อย่างไรก็ตาม ทางผู้พัฒนาปลั๊กอินได้ดำเนินการอัปเดตแพทช์แก้ไขช่องโหว่ดังกล่าวแล้ว เพื่อความปลอดภัย แนะนำให้ผู้ที่ใช้งานปลั๊กอิน OttoKit ในเวอร์ชัน 1.0.78 หรือต่ำกว่า รีบอัปเดตเป็นเวอร์ชัน 1.0.79 ขึ้นไปในทันที และตั้งค่า API Key ให้เรียบร้อย
สำหรับผู้ที่ใช้บริการ WordPress Hosting กับ hostatom หากกังวลเรื่องความปลอดภัยในเว็บไซต์ WordPress ของคุณ สามารถติดต่อทีมงานของเรา ให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามต่าง ๆ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัยอยู่เสมอ
ที่มา : Wordfence
