Patchstack ได้มีการแจ้งเตือนเกี่ยวกับช่องโหว่ด้าน Cross-Site Request Forgery (CSRF) บนปลั๊กอิน WPFront User Role Editor ซึ่งสามารถนำไปสู่การ Privilege Escalation หรือยกระดับสิทธิ์ผู้ใช้งานได้
ปลั๊กอิน WPFront User Role Editor เป็นปลั๊กอิน WordPress ที่จะช่วยให้ผู้ดูแลระบบสามารถจัดการบทบาทใหม่ และสิทธิ์ของผู้ใช้ที่มีความเฉพาะทางมากขึ้นผ่านหลังบ้านได้อย่างง่ายดายโดยที่ไม่ต้องแตะโค้ดเลย โดยปลั๊กอินนี้ได้รับความนิยม และมีการติดตั้งใช้งานไปแล้วกว่า 4 หมื่นเว็บ
ช่องโหว่ที่พบได้ถูกระบุในรหัส CVE-2025-3064 มีระดับความรุนแรงอยู่ที่ 8.8 (สูง) ซึ่งเกิดจากการตรวจสอบ nonce ในฟังก์ชัน whitelist_options() เกิดผิดพลาด ขาดหาย หรือไม่มีเลย ทำให้แฮกเกอร์สามารถส่งคำร้องขอปลอมไปยังเว็บไซต์เพื่ออัปเดตบทบาทของผู้ใช้เริ่มต้นใน WordPress โดยหากสามารถหลอกผู้ดูแลระบบเว็บไซต์ได้ เช่น หลอกให้คลิกที่ลิงก์ที่สร้างขึ้นมาโดยเฉพาะ (ลิงก์ฟิชชิ่ง) ช่องโหว่นี้จะทำงาน และเปิดโอกาสให้แฮกเกอร์ยกระดับสิทธิ์ตัวเองหรือเข้ายึดเว็บไซต์ได้
อย่างไรก็ตาม ช่องโหว่นี้จะสามารถถูกใช้โจมตีได้เฉพาะกรณีที่เว็บไซต์ใช้งานแบบ Multisite เท่านั้น (เช่น เว็บเครือข่ายของมหาวิทยาลัยหรือองค์กรขนาดใหญ่) และทางผู้พัฒนาปลั๊กอินก็ได้ดำเนินการอัปเดตแพทช์แก้ไขช่องโหว่ดังกล่าวแล้ว โดยเพื่อความปลอดภัย แนะนำให้ผู้ที่ใช้งานปลั๊กอิน WPFront User Role Editor ในเวอร์ชัน 4.2.1 หรือต่ำกว่า รีบอัปเดตเป็นเวอร์ชัน 4.2.2 ในทันที
สำหรับผู้ที่ใช้บริการ WordPress Hosting กับ hostatom หากกังวลเรื่องความปลอดภัยในเว็บไซต์ WordPress ของคุณ สามารถติดต่อทีมงานของเรา ให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามต่าง ๆ ได้อย่างมืออาชีพ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัยอยู่เสมอ
ที่มา : patchstack
