พบช่องโหว่ในปลั๊กอิน Jupiter X บน WordPress ส่งผลกระทบกว่า 9 หมื่นเว็บไซต์ตกอยู่ใต้ความเสี่ยง

หนึ่งในเครื่องมือสร้างเว็บที่ยอดนิยมที่สุด แต่ก็เป็นเป้าการแฮ็กสูงสุด ก็คงจะหนีไม่พ้น Wordpress ซึ่งข่าวนี้อาจเป็นข่าวร้ายอีกครั้งของผู้ใช้งานเครื่องมือดังกล่าว

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้รายงานถึงการตรวจพบช่องโหว่บน Wordpress Plug-In ที่มีชื่อว่า Jupiter X ซึ่งเป็น Plug-In สำหรับการใช้งานธีมบน Wordpress และ WooCommerce ซึ่งมีผู้ใช้งานมากกว่า 9 หมื่นเว็บไซต์ โดยช่องโหว่ดังกล่าวนั้นมีชื่อว่า CVE-2025-0366 เป็นช่องโหว่ความปลอดภัยที่มีคะแนน CVSS สูงมากถึง 8.8 ถึงจัดได้ว่าสามารถสร้างอันตรายต่อระบบได้สูงมาก ซึ่งช่องโหว่นี้ได้ถูกตรวจพบโดยนักวิจัยด้านความปลอดภัยไซเบอร์อิสระที่มีชื่อว่า Stealthcopter ในวันที่ 6 มกราคม ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา และผู้ค้นพบนี่เองก็ได้ทำการรายงานให้กับทาง Wordpress ผ่านทางโครงการ Wordfence Bug Bounty Program ส่งผลให้เขาได้รับเงินรางวัลไปถึง 782 ดอลลาร์สหรัฐ (ประมาณ 26,600 บาท)

โดยช่องโหว่ดังกล่าวนั้นจะเปิดช่องให้แฮ็กเกอร์สามารถอัปโหลดไฟล์ SVG ที่แฝงโค้ดอันตราย อย่างเช่น โค้ด PHP โดยอาศัยช่องโหว่ของฟังก์ชัน get_svg() ที่อยู่บน Plug-In ตัวดังกล่าวเพื่อทำการรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE) ถึงแม้ผู้ใช้งานจะมีระดับการใช้งานระบบแค่ระดับผู้เขียนบทความที่ต้องได้รับการตรวจสอบบทความก่อน (Contributor) ก็ตาม ซึ่งการรันโค้ดดังกล่าวนั้นสามารถนำไปสู่การขโมยข้อมูล ไปจนถึงสามารถเข้าควบคุมระบบได้เลยทีเดียว

แต่ด้วยการที่ช่องโหว่ดังกล่าวได้ถูกค้นพบและได้รับการรายงานไปยัง Wordpress โดยตรง ส่งผลให้ข่าวถูกส่งไปถึงทาง Artbee ซึ่งเป็นผู้พัฒนา Plug-In ดังกล่าว นำมาสู่การออกอัปเดตเพื่ออุดช่องโหว่อย่างรวดเร็วในวันที่ 29 มกราคม ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา ซึ่งทางแหล่งข่าวแนะนำว่าให้ผู้ที่ใช้งานอยู่นั้นทำการอัปเดตขึ้นเป็นเวอร์ชัน 4.8.8 ในทันทีเพื่อความปลอดภัยของระบบ