ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

พบช่องโหว่ร้ายแรงใน OttoKit เสี่ยงเว็บ WordPress ถูกยึด!

news Hackers exploit OttoKit WordPress plugin add admin accounts web

มีการเตือนภัยถึงผู้ใช้งานปลั๊กอิน OttoKit (ชื่อเดิม SureTriggers) หลังพบช่องโหว่ความปลอดภัยขั้นรุนแรง (CVE-2025-27007) ซึ่งช่วยให้แฮกเกอร์เลี่ยงการยืนยันตัวตน และ ยกระดับสิทธิ์เป็นผู้ดูแลระบบ (admin) ได้ทันที โดยไม่ต้องเข้าสู่ระบบ! ช่องโหว่นี้ส่งผลกับเวอร์ชัน 1.0.82 ลงไป และได้รับคะแนนความรุนแรง คือ 9.8 ซึ่งถือว่าสูงมาก

OttoKit เป็นปลั๊กอินสำหรับสร้างระบบอัตโนมัติใน WordPress โดยไม่ต้องเขียนโค้ด เช่น สมัครสมาชิกแล้วส่งอีเมลอัตโนมัติ หรือเชื่อมกับบริการอื่น ๆ อย่าง WooCommerce และ Mailchimp แต่ช่องโหว่นี้มาจากฟังก์ชัน create_wp_connection() ที่ไม่ตรวจสอบสิทธิ์ให้รัดกุม ทำให้แฮกเกอร์เชื่อมต่อและเข้ายึดระบบได้ในที่สุด แม้จะไม่มีบัญชีผู้ใช้งานเลยก็ตาม

แม้ว่าผู้พัฒนาได้ปล่อยแพตช์เวอร์ชัน 1.0.83 แก้ไขแล้วตั้งแต่วันที่ 21 เม.ย. และมีการอัปเดตอัตโนมัติใน 3 วันถัดมา แต่ก็มีการโจมตีจริงเกิดขึ้นทันทีเพียง 90 นาทีหลังช่องโหว่ถูกเผยแพร่ต่อสาธารณะ นอกจากนี้ยังพบอีกช่องโหว่ CVE-2025-3102 ที่มีลักษณะใกล้เคียงกัน ซึ่งยิ่งตอกย้ำว่า ผู้ดูแลเว็บไซต์ควรเร่งอัปเดต และตรวจสอบ log หรือบัญชีผู้ดูแลระบบทันที

สำหรับผู้ใช้บริการกับ hostatom ไม่ต้องกังวล เพราะเรามีทีมงานดูแลเว็บไซต์ WordPress ของคุณ 24 ชั่วโมง พร้อมช่วยตรวจสอบ ป้องกัน และลดความเสี่ยงจากภัยคุกคามแบบนี้ได้อย่างมีประสิทธิภาพ

👉 ดูรายละเอียดบริการ WordPress จากโฮสอะตอมเพิ่มเติม ได้ที่ https://www.hostatom.com/wordpress-hosting/

ที่มา: Bleeping Computer, The Hacker News

สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com