พบช่องโหว่บน Plugin เพื่อการบริจาคบน Wordpressr ส่งผลกระทบกว่าแสนเว็บไซต์

การสร้างเว็บไซต์บนเครื่องมืออย่าง Wordpress นั้นเป็นที่นิยมมากทั้งด้วยความง่ายและความยืดหยุ่นในการทำงาน รวมถึงการที่มี Plugin ที่ช่วยในการสร้างเว็บไซต์หลากรูปแบบตั้งแต่ทำการค้ายันการกุศล แต่สิ่งที่เป็นปัญหามาตลอดคือช่องโหว่ที่มีอยู่จำนวนมากบน Plugin หลายตัว

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีรายงานถึงการตรวจพบช่องโหว่ที่อยู่บน Plugin สำหรับการรับเงินบริจาคที่มีชื่อว่า GiveWP ซึ่งปัจจุบันนั้นมีผู้ติดตั้งใช้งานมากกว่า 1 แสนราย โดยช่องโหว่ดังกล่าวนั้นมีชื่อว่า CVE-2024-5932 ซึ่งเป็นช่องโหว่ที่มีความร้ายแรงสูง โดยได้รับคะแนน CVSS (Common Vulnerability Scoring System) ที่สูงถึง 10.0 เรียกว่าอันตรายร้ายแรงมากทีเดียว

ภาพจาก : https://nvd.nist.gov/vuln/detail/cve-2024-5932

ซึ่งการทำงานของช่องโหว่ดังกล่าวนั้นจะเป็นการเปิดทางให้แฮกเกอร์สามารถยิง (Injection) PHP Object สู่ตัวระบบผ่านทางส่วน Parameter ที่มีชื่อว่า ‘give_title’ เพื่อทำการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ได้

โดยทาง Wordfence ซึ่งเป็นทีมพัฒนาที่เชี่ยวชาญด้านการสร้าง Plugin ด้านความปลอดภัยสำหรับเว็บไซต์ที่สร้างบน Wordpress ได้มีการค้นพบช่องโหว่นี้ในช่วงเดือนพฤษภาคมที่ผ่านมา ซึ่งทางทีมงานเองก็ได้มีการพยายามติดต่อทีมงาน StellarWP ซึ่งเป็นทีมงานที่พัฒนา Plugin สำหรับการบริจาคตัวดังกล่าว แต่ก็ไม่ได้รับการตอบรับแต่อย่างใด ซึ่งทางทีมก็ไม่ได้ละความพยายาม ได้พยายามที่จะยกระดับการเคลื่อนไหวด้วยการติดต่อกับทาง WordPress.org ซึ่งองค์กรที่พัฒนา WordPress โดยตรง เพื่อจัดการกับปัญหาร้ายแรงดังกล่าวในช่วงเดือนกรกฏาคมที่ผ่านมา และล่าสุดในเดือนนี้ (สิงหาคม) ทางทีมงาน StellarWP ก็ได้ทำการเคลื่อนไหวด้วยการออกแพทซ์เพื่ออัปเดตตัว Plugin ขึ้นเป็นเวอร์ชัน 3.14.2 ซึ่งได้มีการระบุว่าได้มีการแก้ไขปัญหาดังกล่าวเป็นที่เรียบร้อยแล้ว

โดยช่องโหว่ดังกล่าวนั้นส่งผลต่อผู้ที่ใช้งาน Plugin GiveWP ทุกเวอร์ชันจนถึงเวอร์ชันที่ 3.14.1 ดังนั้น ทางแหล่งข่าวจึงแนะนำว่าขอให้ผู้ที่ใช้งาน Plugin ดังกล่าวทำการอัปเดตเป็นเวอร์ชันล่าสุดโดยด่วน รวมทั้งทำการตรวจสอบ (Audit) ในส่วนความปลอดภัยของตัวเว็บไซต์โดยละเอียด เพื่อสร้างความมั่นใจรวมถึงขจัดภัยที่อาจเข้ามาแฝงตัวบนเว็บไซต์ก่อนที่จะอัปเดต Plugin ดังกล่าว