พบช่องโหว่ร้ายแรงบน Theme และ Plugin ใน Wordpress กระทบเว็บไซต์นับพันแห่ง

Wordpress นั้นนอกจากจะเป็นเครื่องมือสำหรับการสร้าง พัฒนา และดูแลเว็บไซต์ที่ได้รับความนิยมสูงสุดตัวหนึ่งสำหรับเหล่านักพัฒนาแล้ว ยังเป็นเครื่องมือที่มีข่าวเรื่องช่องโหว่ออกมามากที่สุดตัวหนึ่งด้วย

จากรายงานข่าวโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบช่องโหว่ความร้ายแรงสูงที่แฝงตัวอยู่ใน Theme และ Plugin ของ Wordpress ที่สามารถเปิดช่องให้กับแฮกเกอร์เข้ามามีสิทธิ์ในการจัดการ และยึดครองเว็บไซต์ได้ โดยรายละเอียดของช่องโหว่ดังกล่าวนั้น มีดังนี้

CVE-2024-22303

เป็นช่องโหว่ที่อยู่บน Wordpress Houzez Theme โดยช่องโหว่ดังกล่าวนั้นถูกจัดหมวดหมู่โดยองค์กร OWASP ว่าเป็นช่องโหว่ประเภท A5: Security Misconfiguration (การตั้งค่าด้านความปลอดภัยที่ผิดพลาด) ซึ่งช่องโหว่นี้จะเปิดช่องให้แฮกเกอร์สามารถอัปเกรดสิทธิ์ในการจัดการระบบจากระดับล่าง ไปสู่ระดับที่สูงขึ้นได้ ซึ่งเวอร์ชันที่ได้รับผลกระทบนั้นจะอยู่ในเวอร์ชัน 3.2.4 หรือต่ำกว่า โดยทาง Patchstack ซึ่งเป็นผู้พัฒนาอัปเดตเพื่ออุดรอยรั่วความปลอดภัยของ Plugin ต่าง ๆ บน Wordpress ก็ได้ทำการออกแพทช์เวอร์ชัน 3.3.0 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว

CVE-2024-21743

เป็นช่องโหว่ที่อยู่บนผลิตภัณฑ์ในกลุ่ม Houzez เช่นเดียวกัน โดยเป็นช่องโหว่บนส่วนของ Plugin ที่มีชื่อว่า Wordpress Houzez Login Register Plugin ช่องโหว่ดังกล่าวนั้นถูกจัดหมวดหมู่โดยองค์กร OWASP ว่าเป็นช่องโหว่ประเภท A5: Security Misconfiguration (การตั้งค่าด้านความปลอดภัยที่ผิดพลาด) เช่นเดียวกับช่องโหว่ที่กล่าวมาก่อนข้างต้น ซึ่งช่องโหว่จะเปิดช่องให้แฮกเกอร์สามารถอัปเกรดสิทธิ์ในการจัดการระบบจนสามารถเข้าครอบครองระบบเว็บไซต์ได้อย่างสมบูรณ์ได้ ซึ่งเวอร์ชันที่ได้รับผลกระทบนั้นจะอยู่ในเวอร์ชัน 3.2.5 หรือต่ำกว่า  โดยทาง Patchstack ก็ได้ทำการออกแพทช์เวอร์ชัน 3.3.0 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้วเช่นเดียวกัน

ถ้าผู้อ่าน และนักพัฒนาเว็บไซต์ท่านใดกำลังใช้งานเครื่องมือที่กล่าวมาทั้ง 2 ตัว ขอให้ทำการอัปเดตตามข้อแนะนำโดยด่วน รวมทั้งทำการตรวจสอบผู้ใช้งานต่าง ๆ บนเว็บไซต์ ที่มีความสามารถในการจัดการระบบ ถ้าพบผู้ใช้งานแปลกปลอม ขอให้ทำการลบทิ้ง และถอนสิทธิ์ ต่าง ๆ ออกโดยทันที เพื่อความปลอดภัยของตัวเว็บไซต์