พบช่องโหว่ Privilege Escalation ในธีม RealHomes ซึ่งเป็นธีมยอดนิยมสำหรับเว็บไซต์อสังหาริมทรัพย์ที่มีการขายกว่า 33,000 ครั้ง บนตลาด ThemeForest ช่องโหว่นี้ทำให้ผู้ใช้ที่มีสิทธิ์เพียง Subscriber (ระดับผู้ใช้ที่ต่ำที่สุด) หรือสูงกว่านั้นสามารถยกระดับสิทธิ์ของตนเองให้เป็น Administrator ได้ ซึ่งสามารถเปิดช่องทางให้แฮกเกอร์เข้าไปควบคุมเว็บไซต์ได้อย่างสมบูรณ์
ช่องโหว่นี้จะเกิดขึ้นถ้าคุณเปิดตัวเลือก “Show user role option in profile” ซึ่งจะอนุญาตให้ผู้ใช้ยกระดับสิทธิ์เป็นแอดมิน และถ้าแฮกเกอร์สามารถใช้ช่องโหว่นี้ได้ ก็อาจทำให้พวกเขาควบคุมเว็บไซต์ของคุณได้ทั้งหมด!
รายละเอียดของช่องโหว่:
- หมายเลขช่องโหว่ – CVE-2025-4601
- ระดับความรุนแรง – 8.8 (สูง)
- เวอร์ชันที่ได้รับผลกระทบ – ตั้งแต่เวอร์ขัน 4.4.0 ลงไป
โดยปกติแล้ว, การโจมตีประเภท Privilege Escalation จะทำให้แฮกเกอร์สามารถควบคุมเว็บไซต์ได้เต็มรูปแบบ เช่น การอัปโหลดปลั๊กอินหรือธีมที่มีโค้ดอันตรายเพื่อขโมยข้อมูล หรือการแก้ไขเนื้อหาในโพสต์และหน้าเว็บไซต์เพื่อแทรกข้อความสแปมหรือสร้างการโจมตีแบบรีไดเร็กต์ไปยังเว็บไซต์อันตราย
ในกรณีนี้, Wordfence ได้รายงานช่องโหว่นี้ผ่านโปรแกรม Bug Bounty และหลังจากนั้น InspiryThemes ทีมผู้พัฒนาได้ปล่อยแพตช์การแก้ไขในเวอร์ชัน 4.4.1 ซึ่งแก้ไขช่องโหว่ดังกล่าวอย่างสมบูรณ์
หากคุณใช้ธีม RealHomes บนเว็บไซต์ของคุณ, ควรรีบอัปเดตไปยังเวอร์ชัน 4.4.1 ทันที เพื่อป้องกันการโจมตีจากช่องโหว่นี้
หากท่านเป็นเจ้าของเว็บไซต์ที่ใช้ WordPress หรือกำลังมองหาการปกป้องเว็บไซต์จากภัยคุกคามเหล่านี้, hostatom มีบริการ Web Hosting ที่มาพร้อมระบบป้องกันภัยคุกคามและการอัปเดตความปลอดภัยอย่างต่อเนื่อง เพื่อให้เว็บไซต์ของท่านปลอดภัยจากการโจมตี
ที่มา: Wordfence
