ปลั๊กอิน WordPress ยอดนิยมอย่าง Ninja Forms กำลังตกเป็นเป้าหมายของการโจมตี หลังพบช่องโหว่ระดับร้ายแรงที่เปิดให้แฮ็กเกอร์สามารถอัปโหลดไฟล์อันตรายและยึดเว็บไซต์ได้โดยไม่ต้องล็อกอิน โดยล่าสุดมีรายงานว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงแล้วในหลายพันครั้งภายในเวลาเพียง 24 ชั่วโมง
รายละเอียดช่องโหว่
ช่องโหว่นี้ถูกระบุในรหัส CVE-2026-0740 ซึ่งอยู่ในส่วนเสริม File Uploads add-on เวอร์ชัน 3.3.26 หรือต่ำกว่าของปลั๊กอิน Ninja Forms โดยปัญหาหลักเกิดจาก
- ไม่มีการตรวจสอบชนิดไฟล์
- ไม่มีการกรองชื่อไฟล์
- เปิดให้ผู้ใช้งานทั่วไป (ไม่ต้องล็อกอิน) อัปโหลดไฟล์ได้
ส่งผลให้แฮ็กเกอร์สามารถอัปโหลดไฟล์อันตราย เช่น .php และรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที
ผลกระทบที่อาจเกิดขึ้นกับเว็บไซต์
หากเว็บไซต์ยังไม่ได้อัปเดต อาจเสี่ยงต่อการถูก…
- ฝังมัลแวร์
- แฮ็กเพื่อควบคุมเว็บไซต์
- ข้อมูลรั่วไหล
- ใช้เว็บเป็นฐานโจมตี (Botnet / Spam)
โดยจุดที่ทำให้ช่องโหว่นี้ร้ายแรงก็คือ
- ไม่ต้องล็อกอินก็โจมตีได้
- สามารถรันโค้ดบนเซิร์ฟเวอร์ได้ (RCE)
- โจมตีได้ง่าย และทำซ้ำได้
วิธีป้องกันและแก้ไข
เพื่อความปลอดภัยของเว็บไซต์ ควรดำเนินการดังนี้
- อัปเดตปลั๊กอิน Ninja Forms และ add-on ให้เป็นเวอร์ชันล่าสุด
- หากยังไม่สามารถอัปเดตได้ ควรปิดการใช้งานฟีเจอร์อัปโหลดไฟล์ (File Upload) ชั่วคราวไปก่อน
- ค้นหาไฟล์ .php หรือไฟล์แปลก ๆ ในโฟลเดอร์ uploads
- ใช้ระบบป้องกันเสริม เช่น Web Application Firewall (WAF) หรือปลั๊กอินความปลอดภัย
ช่องโหว่ Ninja Forms ครั้งนี้ถือว่าอันตรายระดับสูง และกำลังถูกใช้โจมตีจริง หากคุณใช้งาน WordPress โดยมีฟีเจอร์อัปโหลดไฟล์ ควรรีบตรวจสอบและอัปเดตทันที เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับเว็บไซต์
ที่มา : BleepingComputer
