จากรายงานของ The Hacker News ปลั๊กอิน WordPress สองตัว ได้แก่ Malware Scanner และ Web Application Firewall จาก miniOrage กำลังประสบกับช่องโหว่ด้านความปลอดภัยที่ร้ายแรง CVE-2024-2172 ซึ่งค้นพบโดย Stiofan และมีคะแนนความรุนแรง 9.8 จาก 10 ในระบบการให้คะแนนช่องโหว่ CVSS
ช่องโหว่นี้ส่งผลกระทบเป็นวงกว้าง เพราะถึงแม้ผู้พัฒนาจะลบออกจากร้านแอป WordPress เมื่อวันที่ 7 มีนาคม 2024 แล้วก็ตาม แต่ก็ยังคงก่อให้เกิดปัญหาได้ เนื่องจากพบว่า Malware Scanner ถูกติดตั้งและใช้งานบนเว็บไซต์มากถึง 10,000 เว็บไซต์ ในขณะที่ Web Application Firewall มีเพียง 300 เว็บไซต์เท่านั้น
Wordfence ระบุว่าช่องโหว่นี้เกิดจากการขาดการตรวจสอบในโค้ดของปลั๊กอิน ทำให้ผู้โจมตีสามารถอัปเดตรหัสผ่านของผู้ใช้รายใดก็ได้โดยพลการ และยกระดับสิทธิ์เป็นผู้ดูแลระบบโดยไม่ต้องมีการตรวจสอบสิทธิ์ ซึ่งอาจนำไปสู่การบุกรุกเว็บไซต์อย่างสมบูรณ์
WordPress เป็นแพลตฟอร์ม CMS ที่ได้รับความนิยมมากที่สุด จึงเป็นเป้าหมายหลักของแฮกเกอร์
ด้วยสิทธิ์การดูแลระบบ แฮกเกอร์สามารถดาวน์โหลดปลั๊กอินเพิ่มเติม ไฟล์ซิปที่เป็นอันตรายซึ่งมีช่องโหว่ และแก้ไขโพสต์บนเว็บไซต์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายอื่นๆ ได้อย่างง่ายดาย
ก่อนหน้านี้ มีการรายงานช่องโหว่ที่คล้ายกันชื่อ RegistrationMagic โดยมีรหัสช่องโหว่ CVE-2024-1991 และคะแนน CVSS 8.8 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงเช่นกัน ปลั๊กอินนี้ถูกดาวน์โหลดและติดตั้งมากกว่า 10,000 ครั้ง
WordPress เป็นระบบจัดการเนื้อหา (CMS) แบบโอเพนซอร์สยอดนิยมที่ใช้กันอย่างแพร่หลายทั่ว โลก ความง่ายในการติดตั้ง การอัปโหลดเนื้อหา และการจัดการ ทำให้เป็นแพลตฟอร์มที่เหมาะสมสำหรับเว็บไซต์หลากหลายประเภท เช่น ร้านค้าออนไลน์ พอร์ทัล และเว็บบอร์ด จากข้อมูลของ w3techs พบว่า 43.1% ของเว็บไซต์ทั่วโลกใช้แพลตฟอร์ม CMS นี้
[โฆษณา_2]
ลิงก์แหล่งที่มา
การแสดงความคิดเห็น (0)