ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

Facebook-f Twitter Youtube
Home พบช่องโหว่ร้ายแรงในปลั๊กอิน Avada Builder เสี่ยงต่อการถูกขโมยรหัสผ่านและข้อมูลระบบ

พบช่องโหว่ร้ายแรงในปลั๊กอิน Avada Builder เสี่ยงต่อการถูกขโมยรหัสผ่านและข้อมูลระบบ

WordPress logo on a dark red, wavy background with a Thai headline warning of a critical plugin vulnerability (Avada Builder) risking passwords and data on HostGator.

เว็บไซต์ WordPress กว่า 1 ล้านเว็บที่ใช้งานปลั๊กอิน Avada Builder กำลังเผชิญความเสี่ยงด้านความปลอดภัย หลังมีการค้นพบช่องโหว่ร้ายแรง 2 รายการ ที่อาจเปิดทางให้แฮกเกอร์เข้าถึงไฟล์สำคัญของเซิร์ฟเวอร์ รวมถึงดึงข้อมูลจากฐานข้อมูล เช่น hash รหัสผ่าน และข้อมูลรับรองต่าง ๆ ได้

รายละเอียดช่องโหว่ที่พบ

1. CVE-2026-4782 (Arbitrary File Read)

ช่องโหว่นี้เปิดโอกาสให้ผู้ใช้ที่มีสิทธิ์ระดับ Subscriber ขึ้นไป สามารถอ่านไฟล์ใดก็ได้บนเซิร์ฟเวอร์ผ่านฟังก์ชัน fusion_get_svg_from_file โดยไฟล์ที่ถูกเข้าถึงได้อาจรวมถึง

  • wp-config.php
  • ข้อมูลเชื่อมต่อฐานข้อมูล
  • Security Keys และ Salts ของ WordPress

แม้จะต้องใช้บัญชีผู้ใช้ในการโจมตี แต่หลายเว็บไซต์เปิดให้สมัครสมาชิกได้ ทำให้ความเสี่ยงยังถือว่าสูง

2. CVE-2026-4798 (SQL Injection)

อีกช่องโหว่ที่น่ากังวลคือ SQL Injection แบบ Time-based Blind SQLi ซึ่งสามารถโจมตีได้โดยที่ไม่ต้องล็อกอิน โดยผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อ

  • ดึงข้อมูลจากฐานข้อมูล
  • ขโมย hash รหัสผ่าน
  • อ่านข้อมูลผู้ใช้งาน
  • เตรียมโจมตีเพื่อยึดเว็บไซต์ต่อได้

ช่องโหว่นี้จะเกิดขึ้นเฉพาะเว็บไซต์ที่เคยติดตั้ง WooCommerce แล้วปิดการใช้งานภายหลังไว้ และยังคงมีตารางฐานข้อมูลเดิมอยู่

เวอร์ชันที่ได้รับผลกระทบ

  • CVE-2026-4782 กระทบถึงเวอร์ชัน 3.15.2
  • CVE-2026-4798 กระทบถึงเวอร์ชัน 3.15.1

อย่างไรก็ตาม ทีมพัฒนาได้ออกแพตช์แก้ไขสมบูรณ์แล้วในเวอร์ชัน 3.15.3 โดยผู้ดูแลเว็บไซต์ควรอัปเดตทันทีเพื่อป้องกันการถูกโจมตี

คำแนะนำสำหรับผู้ดูแลเว็บไซต์ WordPress

หากเว็บไซต์ของคุณใช้งานธีม Avada หรือปลั๊กอิน Avada Builder อยู่ ควรรีบดำเนินการต่อไปนี้ทันที

  • อัปเดตปลั๊กอินเป็นเวอร์ชัน 3.15.3 หรือใหม่กว่า
  • ตรวจสอบบัญชีผู้ใช้ระดับ Subscriber ที่ไม่รู้จัก
  • เปลี่ยนรหัสผ่านและ Security Keys หากสงสัยว่ามีการเข้าถึงไฟล์ wp-config.php
  • ตรวจสอบ Log การใช้งานผิดปกติ
  • ลบปลั๊กอินหรือส่วนเสริมที่ไม่ได้ใช้งานออกจากระบบ

เหตุการณ์นี้สะท้อนให้เห็นว่า แม้ปลั๊กอินยอดนิยมของ WordPress ก็ยังอาจมีช่องโหว่ร้ายแรงได้ โดยเฉพาะปลั๊กอินที่มีผู้ใช้งานจำนวนมากอย่าง Avada Builder ซึ่งมี Active Install มากกว่า 1 ล้านเว็บไซต์ทั่วโลก

ผู้ดูแลเว็บไซต์ควรหมั่นอัปเดต WordPress, Theme และ Plugin อย่างสม่ำเสมอ เพื่อป้องกันความเสี่ยงจากการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง

หากต้องการความปลอดภัยครบวงจร hostatom มีบริการดูแลเว็บไซต์ WordPress ครบวงจร รวมถึงอัปเดตปลั๊กอิน สแกนมัลแวร์ และเฝ้าระวังตลอด 24 ชม.

ที่มา: BleepingComputer

  • สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com
Categories
Tags