ทีมวิจัยจาก Patchstack ได้เผยรายงานเกี่ยวกับช่องโหว่ความปลอดภัยระดับร้ายแรงในปลั๊กอินยอดนิยมของ WordPress อย่าง TI WooCommerce Wishlist ซึ่งเป็นปลั๊กอินที่มีการติดตั้งและใช้งานมากกว่า 1 แสนเว็บไซต์ทั่วโลก
ปลั๊กอิน TI WooCommerce Wishlist เป็นปลั๊กอินที่จะช่วยให้เจ้าของร้านค้า WooCommerce สามารถเพิ่มฟังก์ชันรายการสินค้าที่อยากได้ (wishlist) ลงไปในร้านของตนได้ นอกจากนี้ยังสามารถนำไปใช้งานร่วมกับส่วนขยาย WooCommerce อื่น ๆ ได้ อย่าง WC Fields Factory เพื่อเปิดใช้งานฟิลด์ที่กำหนดเองและแบบฟอร์มที่ปรับปรุงแล้วได้
ช่องโหว่ที่พบได้ถูกระบุในรหัส CVE-2025-47577 และถูกจัดระดับความรุนแรงเป็น 10 เต็ม 10 ตามมาตรฐาน CVSS (ร้ายแรง) เนื่องจากสามารถเปิดช่องให้แฮ็กเกอร์โจมตีจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ผ่านการอัปโหลดไฟล์อันตรายขึ้นบนเซิร์ฟเวอร์
สาเหตุของช่องโหว่นี้มาจากฟังก์ชัน tinvwl_upload_file_wc_fields_factory ที่ใช้คำสั่ง wp_handle_upload() ของ WordPress โดยตั้งค่าพารามิเตอร์ test_type และ test_form เป็น false ซึ่งส่งผลให้ระบบข้ามการตรวจสอบประเภทของไฟล์และรูปแบบของฟอร์มที่ใช้ ส่งผลให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์ PHP หรือไฟล์อันตรายอื่น ๆ ได้โดยไม่ผ่านระบบป้องกันใด ๆ
แม้ว่าช่องโหว่นี้จะดูน่ากลัว แต่การโจมตีให้สำเร็จนั้นจะมีเงื่อนไขที่จำเป็นอยู่ นั่นคือเว็บไซต์เป้าหมายต้องติดตั้งปลั๊กอินอีกตัวที่ชื่อว่า WC Fields Factory และต้องเปิดใช้งานการผสานระหว่างสองปลั๊กอินนี้ หากไม่ได้เปิดฟีเจอร์ดังกล่าว ช่องโหว่นี้จะไม่สามารถถูกใช้โจมตีได้
อย่างไรก็ตาม สิ่งที่น่าเป็นห่วงคือ ขณะนี้ยังไม่มีแพตช์อัปเดตจากผู้พัฒนาปลั๊กอิน TI WooCommerce Wishlist เพื่อแก้ไขช่องโหว่นี้ เพื่อความปลอดภัยจึงขอแนะนำแนวทางป้องกันเบื้องต้นดังนี้
- ปิดการใช้งานและลบปลั๊กอิน TI WooCommerce Wishlist ออกจากเว็บไซต์ชั่วคราว จนกว่าจะมีการอัปเดตที่แก้ไขช่องโหว่นี้
- ตรวจสอบว่ามีการติดตั้งปลั๊กอิน WC Fields Factory หรือไม่ หากติดตั้งไว้แต่ไม่ได้ใช้งาน ควรปิดการใช้งานหรือลบปลั๊กอินทิ้ง
- ตรวจสอบไฟล์ในโฟลเดอร์อัปโหลดของเว็บไซต์ ว่ามีไฟล์น่าสงสัยอยู่หรือไม่ โดยเฉพาะไฟล์ .php
- ติดตามข่าวสารจากผู้พัฒนาปลั๊กอินเพื่อรอการปล่อยแพตช์อัปเดต
สำหรับผู้ใช้บริการ WordPress Hosting กับ hostatom ที่กังวลเรื่องความปลอดภัยในเว็บไซต์ WordPress ของคุณ สามารถติดต่อทีมงานของเรา ให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามต่าง ๆ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัยอยู่เสมอ
ที่มา : patchstack
