ตามรายงานของ The Hacker New ปลั๊กอิน WordPress 2 ตัว ได้แก่ Malware Scanner และ Web Application Firewall โดย miniOrage มีช่องโหว่ด้านความปลอดภัยที่ร้ายแรง CVE-2024-2172 ซึ่งค้นพบโดย Stiofan โดยมีคะแนนความรุนแรง 9.8 จากระบบคะแนนความเสี่ยงด้านความปลอดภัย CVSS จำนวน 10 คะแนน
ข้อบกพร่องดังกล่าวส่งผลกระทบเป็นวงกว้าง เพราะแม้ว่านักพัฒนาซอฟต์แวร์จะลบออกจากร้านแอป WordPress เมื่อวันที่ 7 มีนาคม 2024 แต่ก็ยังมีผลกระทบได้ เนื่องจากมีการบันทึกว่า Malware Scanner ได้รับการติดตั้งและใช้งานบนเว็บไซต์มากถึง 10,000 เว็บไซต์ ในขณะที่ Web Application Firewall พบว่ามีการติดตั้งและใช้งานอยู่เพียง 300 เว็บไซต์
Wordfence กล่าวว่าช่องโหว่ดังกล่าวเป็นผลมาจากการขาดการตรวจสอบในโค้ดของปลั๊กอิน ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสามารถอัปเดตข้อมูลรหัสผ่านของผู้ใช้และยกระดับสิทธิ์ไปยังผู้ดูแลระบบโดยสุ่ม ซึ่งอาจนำไปสู่การประนีประนอมของเว็บไซต์ได้อย่างสมบูรณ์
เนื่องจากเป็นแพลตฟอร์ม CMS ที่ได้รับความนิยมสูงสุด WordPress จึงเป็นเป้าหมายของแฮกเกอร์
ด้วยสิทธิ์การดูแลระบบ แฮกเกอร์สามารถดาวน์โหลดปลั๊กอินเพิ่มเติม ไฟล์ zip ที่เป็นอันตรายซึ่งมีแบ็กดอร์ และแก้ไขโพสต์บนเว็บไซต์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายอื่นๆ ได้อย่างง่ายดาย
ก่อนหน้านี้ มีการรายงานปลั๊กอินที่คล้ายคลึงกันคือ RegistrationMagic ซึ่งมีรหัสข้อบกพร่อง CVE-2024-1991 และคะแนน CVSS 8.8 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูง นอกจากนี้ ปลั๊กอินนี้ยังได้รับการดาวน์โหลดและติดตั้งมากกว่า 10,000 ครั้ง
WordPress เป็นระบบจัดการเนื้อหาโอเพ่นซอร์ส (CMS) ที่มีชื่อเสียงซึ่งใช้กันอย่างแพร่หลายทั่วโลก การติดตั้ง การโพสต์ และการจัดการเนื้อหาบนแพลตฟอร์ม CMS นี้ทำได้ง่าย ทำให้ WordPress เป็นแพลตฟอร์มที่เหมาะสำหรับเว็บไซต์ทุกประเภท เช่น ร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา... ตามรายงานของ W3techs แพลตฟอร์ม CMS นี้ได้รับการเลือกใช้โดยเว็บไซต์ทั่วโลก 43.1%
ลิงค์ที่มา
การแสดงความคิดเห็น (0)