มีการเตือนภัยถึงผู้ใช้งานปลั๊กอิน OttoKit (ชื่อเดิม SureTriggers) หลังพบช่องโหว่ความปลอดภัยขั้นรุนแรง (CVE-2025-27007) ซึ่งช่วยให้แฮกเกอร์เลี่ยงการยืนยันตัวตน และ ยกระดับสิทธิ์เป็นผู้ดูแลระบบ (admin) ได้ทันที โดยไม่ต้องเข้าสู่ระบบ! ช่องโหว่นี้ส่งผลกับเวอร์ชัน 1.0.82 ลงไป และได้รับคะแนนความรุนแรง คือ 9.8 ซึ่งถือว่าสูงมาก
OttoKit เป็นปลั๊กอินสำหรับสร้างระบบอัตโนมัติใน WordPress โดยไม่ต้องเขียนโค้ด เช่น สมัครสมาชิกแล้วส่งอีเมลอัตโนมัติ หรือเชื่อมกับบริการอื่น ๆ อย่าง WooCommerce และ Mailchimp แต่ช่องโหว่นี้มาจากฟังก์ชัน create_wp_connection() ที่ไม่ตรวจสอบสิทธิ์ให้รัดกุม ทำให้แฮกเกอร์เชื่อมต่อและเข้ายึดระบบได้ในที่สุด แม้จะไม่มีบัญชีผู้ใช้งานเลยก็ตาม
แม้ว่าผู้พัฒนาได้ปล่อยแพตช์เวอร์ชัน 1.0.83 แก้ไขแล้วตั้งแต่วันที่ 21 เม.ย. และมีการอัปเดตอัตโนมัติใน 3 วันถัดมา แต่ก็มีการโจมตีจริงเกิดขึ้นทันทีเพียง 90 นาทีหลังช่องโหว่ถูกเผยแพร่ต่อสาธารณะ นอกจากนี้ยังพบอีกช่องโหว่ CVE-2025-3102 ที่มีลักษณะใกล้เคียงกัน ซึ่งยิ่งตอกย้ำว่า ผู้ดูแลเว็บไซต์ควรเร่งอัปเดต และตรวจสอบ log หรือบัญชีผู้ดูแลระบบทันที
สำหรับผู้ใช้บริการกับ hostatom ไม่ต้องกังวล เพราะเรามีทีมงานดูแลเว็บไซต์ WordPress ของคุณ 24 ชั่วโมง พร้อมช่วยตรวจสอบ ป้องกัน และลดความเสี่ยงจากภัยคุกคามแบบนี้ได้อย่างมีประสิทธิภาพ
👉 ดูรายละเอียดบริการ WordPress จากโฮสอะตอมเพิ่มเติม ได้ที่ https://www.hostatom.com/wordpress-hosting/
ที่มา: Bleeping Computer, The Hacker News