เว็บไซต์ WordPress กว่า 100,000 แห่งที่ใช้งานปลั๊กอิน Gravity SMTP กำลังตกเป็นเป้าหมายของการโจมตี หลังพบช่องโหว่ด้านความปลอดภัยที่เปิดโอกาสให้ผู้ไม่หวังดีเข้าถึงข้อมูลสำคัญได้โดยไม่ต้องล็อกอินเข้าสู่ระบบ
รายละเอียดช่องโหว่
ช่องโหว่ที่พบได้ถูกระบุในรหัส CVE-2026-4020 ระดับความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ประเภท Information Disclosure หรือการเปิดเผยข้อมูลสำคัญโดยไม่ได้รับอนุญาต โดยส่งผลกระทบต่อปลั๊กอิน Gravity SMTP เวอร์ชัน 2.1.4 หรือตำกว่า
สาเหตุเกิดจาก REST API Endpoint ของปลั๊กอินที่อนุญาตให้เรียกใช้งานได้โดยไม่ต้องยืนยันตัวตน ทำให้ผู้โจมตีสามารถดึงข้อมูลภายในเว็บไซต์ออกไปได้ผ่าน HTTP Request เพียงครั้งเดียว
ข้อมูลอะไรที่อาจถูกเปิดเผย?
ข้อมูลที่ผู้โจมตีสามารถเข้าถึงได้มีจำนวนมาก
- API Keys และ OAuth Tokens
- ข้อมูลการเชื่อมต่อบริการอีเมล
- เวอร์ชัน WordPress ที่ใช้งาน
- รายชื่อปลั๊กอินและธีมทั้งหมด
- รายละเอียดเซิร์ฟเวอร์
- ข้อมูลฐานข้อมูล
- การตั้งค่าระบบต่าง ๆ ของเว็บไซต์
รวมถึงข้อมูลรับรองของบริการยอดนิยม
- Amazon SES
- Mailjet
- Resend
- Zoho
ซึ่งหาก API Key หรือ Token เหล่านี้รั่วไหล อาจถูกนำไปใช้ส่งอีเมลปลอม สแปม หรือเข้าถึงบริการอื่น ๆ ที่เชื่อมต่ออยู่ได้
คำแนะนำสำหรับผู้ดูแลเว็บไซต์ WordPress
- อัปเดตปลั๊กอินเป็นเวอร์ชัน 2.1.5 หรือใหม่กว่า
- เปลี่ยน API Keys และ OAuth Tokens ทั้งหมดที่เคยเชื่อมต่อกับปลั๊กอิน
- ตรวจสอบ Log การเข้าถึงระบบย้อนหลัง
- เฝ้าระวังการส่งอีเมลผิดปกติจากระบบ
- ตรวจสอบบัญชีผู้ใช้งานและการตั้งค่าที่อาจถูกแก้ไขโดยไม่ได้รับอนุญาต
แม้ช่องโหว่ที่พบจะถูกจัดอยู่ในระดับความรุนแรงปานกลาง แต่ผลกระทบที่เกิดขึ้นจริงถือว่าค่อนข้างร้ายแรง เพราะเปิดทางให้ผู้โจมตีเข้าถึง API Key และข้อมูลสำคัญของระบบได้โดยไม่ต้องผ่านการยืนยันตัวตน ดังนั้นผู้ดูแลเว็บไซต์ WordPress ที่ใช้งาน Gravity SMTP ควรรีบอัปเดตและเปลี่ยนข้อมูลรับรองต่าง ๆ โดยเร็วที่สุด
ที่มา: BleepingComputer
