เว็บไซต์ที่ใช้ WordPress จำเป็นต้องลบปลั๊กอิน 2 ตัวนี้

ตามรายงานของ The Hacker New ปลั๊กอิน WordPress สองตัว ได้แก่ Malware Scanner และ Web Application Firewall โดย miniOrage มีช่องโหว่ด้านความปลอดภัยที่ร้ายแรง CVE-2024-2172 ซึ่งค้นพบโดย Stiofan โดยมีคะแนนความรุนแรง 9.8 จากมาตราส่วน 10 จุดของระบบการให้คะแนนช่องโหว่ด้านความปลอดภัยของ CVSS

ข้อบกพร่องดังกล่าวส่งผลกระทบเป็นวงกว้าง เนื่องจากแม้ว่าผู้พัฒนาได้ลบออกจากร้านแอป WordPress เมื่อวันที่ 7 มีนาคม 2024 แล้วก็ตาม แต่ยังคงส่งผลกระทบได้ เนื่องจาก Malware Scanner ได้ถูกบันทึกว่าได้รับการติดตั้งและใช้งานบนเว็บไซต์มากถึง 10,000 เว็บไซต์ ในขณะที่ Web Application Firewall นั้นมีการใช้งานเพียง 300 เว็บไซต์เท่านั้น

Wordfence กล่าวว่าช่องโหว่ดังกล่าวเป็นผลมาจากการขาดการตรวจสอบในโค้ดของปลั๊กอิน ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสามารถอัปเดตข้อมูลรหัสผ่านของผู้ใช้และยกระดับสิทธิ์ให้กับผู้ดูแลระบบโดยพลการ ซึ่งอาจนำไปสู่การประนีประนอมเว็บไซต์ได้อย่างสมบูรณ์

ด้วยสิทธิ์ผู้ดูแลระบบ แฮกเกอร์สามารถดาวน์โหลดปลั๊กอินเพิ่มเติม ไฟล์ zip ที่เป็นอันตรายซึ่งมีแบ็กดอร์ และแก้ไขโพสต์บนเว็บไซต์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายอื่นๆ ได้อย่างง่ายดาย

ก่อนหน้านี้ มีรายงานปลั๊กอินที่คล้ายคลึงกันอย่าง RegistrationMagic ซึ่งมีรหัสบั๊ก CVE-2024-1991 และคะแนน CVSS 8.8 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูง ปลั๊กอินนี้มีการดาวน์โหลดและติดตั้งมากกว่า 10,000 ครั้งแล้ว

WordPress เป็นระบบจัดการเนื้อหา (CMS) แบบโอเพนซอร์สที่มีชื่อเสียงและได้รับความนิยมอย่างแพร่หลายทั่ว โลก ความสะดวกในการติดตั้ง โพสต์ และจัดการเนื้อหาบนแพลตฟอร์ม CMS นี้ ทำให้ WordPress เป็นแพลตฟอร์มที่เหมาะสำหรับเว็บไซต์ทุกประเภท เช่น ร้านค้าออนไลน์ พอร์ทัล ฟอรัมสนทนา... จากข้อมูลของ w3techs ปัจจุบันแพลตฟอร์ม CMS นี้ได้รับเลือกจากเว็บไซต์ทั่วโลกถึง 43.1%