ธีโอ แฮกเกอร์นิวปลั๊กอินสองตัวสำหรับ WordPress, Malware Scanner และ Web Application Firewall ของ miniOrage กำลังประสบกับข้อผิดพลาดด้านความปลอดภัยร้ายแรง CVE-2024-2172 ซึ่งค้นพบโดย Stiofan โดยมีคะแนนข้อผิดพลาดร้ายแรงอยู่ที่ 9,8 ในระดับ 10 จุดของระบบ ช่องโหว่ด้านความปลอดภัย CVSS การให้คะแนน
ข้อผิดพลาดดังกล่าวส่งผลกระทบในวงกว้างเพราะถึงแม้นักพัฒนาจะถูกลบออกจาก Application Store ของ WordPress เมื่อวันที่ 7.3.2024 มีนาคม 10.000 แต่ก็ยังส่งผลกระทบได้เนื่องจาก Malware Scanner ได้บันทึกการติดตั้งและกิจกรรมต่างๆ บนเว็บไซต์มากถึง 300 แห่ง ในขณะที่มี Web Application Firewall มันคือ XNUMX
Wordfence กล่าวว่าช่องโหว่นี้เป็นผลมาจากการขาดการตรวจสอบโค้ดของปลั๊กอิน ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถอัปเดตรหัสผ่านของผู้ใช้โดยพลการ และเพิ่มสิทธิ์ให้กับผู้ดูแลระบบ ซึ่งอาจนำไปสู่การบุกรุกเว็บไซต์โดยสมบูรณ์
เมื่อมีสิทธิ์ผู้ดูแลระบบ แฮกเกอร์สามารถดาวน์โหลดปลั๊กอินเพิ่มเติม ไฟล์ zip ที่เป็นอันตรายที่มีแบ็คดอร์ และแก้ไขโพสต์บนเว็บไซต์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายอื่น ๆ ได้อย่างง่ายดาย
ก่อนหน้านี้ มีการรายงานปลั๊กอินที่คล้ายกัน RegistrationMagic โดยมีรหัสข้อผิดพลาด CVE-2024-1991 และคะแนน CVSS 8.8 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ที่มีความรุนแรงสูงเช่นกัน ปลั๊กอินนี้ได้รับการดาวน์โหลดและติดตั้งมากกว่า 10.000 ครั้ง
WordPress เป็นระบบจัดการเนื้อหาโอเพ่นซอร์ส (CMS) ที่มีชื่อเสียงซึ่งมีการใช้กันอย่างแพร่หลายทั่วโลก ความง่ายในการติดตั้ง โพสต์ และจัดการเนื้อหาบนแพลตฟอร์ม CMS นี้ ทำให้ WordPress เป็นแพลตฟอร์มที่เหมาะสำหรับเว็บไซต์ทุกประเภท เช่น ร้านค้าออนไลน์ พอร์ทัลข้อมูล กระดานสนทนา... ตามข้อมูลของ w3techปัจจุบันแพลตฟอร์ม CMS นี้ได้รับเลือกโดย 43,1% ของเว็บไซต์ทั่วโลก