Wordfence แจ้งเตือนช่องโหว่ร้ายแรงในปลั๊กอิน Forminator บน WordPress ที่เปิดช่องให้แฮกเกอร์ลบไฟล์สำคัญของเว็บไซต์ เช่น wp-config.php โดยไม่ต้องล็อกอิน ส่งผลให้ผู้ไม่หวังดีสามารถเข้าควบคุมเว็บทั้งหมดได้
ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2025-6463 มีคะแนนความร้ายแรง CVSS สูงถึง 8.8 และส่งผลกระทบกับ ทุกเวอร์ชันก่อนหน้า 1.44.3 ของปลั๊กอิน Forminator ซึ่งมีผู้ใช้งานมากกว่า 600,000 เว็บไซต์
ต้นตอของปัญหา มาจากการที่ฟังก์ชัน save_entry_fields() ไม่ตรวจสอบข้อมูลที่ส่งมาจากฟอร์มให้รัดกุม แฮกเกอร์สามารถปลอมค่าในฟอร์มให้คล้ายไฟล์อัปโหลดที่ชี้ไปยังไฟล์ระบบ เช่น /wp-config.php และเมื่อปลั๊กอินทำการลบข้อมูลฟอร์ม (ด้วยมือหรืออัตโนมัติ) ก็จะลบไฟล์สำคัญของระบบออกไปด้วย
ผลที่ตามมาคือเว็บไซต์จะเข้าสู่โหมดติดตั้งใหม่ (setup mode) ซึ่งเปิดช่องให้ผู้โจมตีเชื่อมต่อฐานข้อมูลของตนเองและเข้ายึดเว็บได้ในทันที
WPMU DEV ได้ออกแพตช์ในเวอร์ชัน Forminator 1.44.3 แล้วเมื่อวันที่ 30 มิถุนายน 2025 โดยเพิ่มการตรวจสอบชนิดของฟิลด์ และอนุญาตให้ลบไฟล์ได้เฉพาะในโฟลเดอร์อัปโหลดเท่านั้น
❗ ผู้ใช้งานปลั๊กอิน Forminator ควรอัปเดตเป็นเวอร์ชันล่าสุดโดยด่วน
หรือปิดการใช้งานชั่วคราวหากยังไม่สามารถอัปเดตได้
บริการของ hostatom ที่เกี่ยวข้อง:
เพื่อปกป้องเว็บไซต์ WordPress จากช่องโหว่แบบนี้ hostatom แนะนำให้ใช้งาน
บริการดูแลความปลอดภัย WordPress
พร้อมระบบสำรองข้อมูล, Firewall, และตรวจสอบปลั๊กอินอัตโนมัติแบบครบวงจร
ดูรายละเอียดบริการ: https://www.hostatom.com/wordpress-hosting/
ที่มา: Bleeping Computer
