พบช่องโหว่ปลั๊กอิน WP Ultimate CSV Importer ทำเว็บไซต์ Wordpress กว่า 2 หมื่นแห่ง ตกอยู่ใต้ความเสี่ยง

ถึงแม้ Wordpress จะเป็นที่นิยมในการใช้สร้างเว็บไซต์มากก็ตาม แต่ตัว Wordpress เองก็มักจะมีช่องโหว่ความปลอดภัยในองค์ประกอบต่าง ๆ ของมัน อย่างเช่น ปลั๊กอิน ที่มักปรากฎให้เห็นอยู่เสมอ ๆ นำความเสี่ยงมาให้แก่ผู้ใช้งาน

จากรายงานโดยเว็บไซต์ Info Security Magazine ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยที่สำคัญถึง 2 ตัวบนปลั๊กอินของ Wordpress ที่มีชื่อว่า WP Ultimate CSV Importer ซึ่งเป็นปลั๊กอินที่ใช้สำหรับการนำเข้าไฟล์สเปรดชีตในรูปแบบ CSV ขึ้นสู่ฐานข้อมูลของเว็บไซต์ ซึ่งในปัจจุบันมีเว็บไซต์ไม่ต่ำกว่า 2 หมื่นแห่ง ใช้งานปลั๊กอินดังกล่าวอยู่ ทำให้ต้องตกอยู่ใต้ความเสี่ยงต่อการถูกแฮกโดยแฮกเกอร์ที่มีระดับการเข้าถึงตัวเว็บไซต์ในระดับผู้ติดตาม (Subscriber) โดยแฮกเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการเข้าลบไฟล์สำคัญ และอัปโหลดไฟล์อันตรายขึ้นสู่ตัวเว็บไซต์ จนนำไปสู่การเข้ายึดตัวเว็บไซต์ได้

ช่องโหว่แรกมีชื่อว่า CVE-2025-2008 มีคะแนนความอันตรายถึง 8.8 ซึ่งเป็นช่องโหว่ที่อยู่ในฟังก์ชัน import_single_post_as_csv() ของตัวปลั๊กอินที่เกิดจากการตรวจสอบชนิดของไฟล์อย่างไม่ถูกต้อง ทำให้แฮกเกอร์สามารถอัปโหลดไฟล์ PHP ที่ปนเปื้อนโค้ดที่มีอันตรายขึ้นสู่เว็บไซต์ เพื่อทำการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ได้

ช่องโหว่ที่สองมีชื่อว่า CVE-2025-2007 มีคะแนนอันตรายอยู่ที่ 8.1 เป็นช่องโหว่ที่อยู่ในฟังก์ชัน deleteImage() เกิดจากข้อผิดพลาดในการตรวจสอบที่อยู่ของไฟล์ (File Path) ทำให้แฮกเกอร์สามารถเข้าถึง และลบไฟล์สำคัญอย่าง wp-config.php ที่จะนำไปสู่การเริ่มทำงานใหม่ (Reset) ของตัวเว็บไซต์ เปิดให้แฮกเกอร์สามารถฉวยโอกาสเข้ายึดตัวเว็บไซต์ในขั้นตอนการติดตั้งใหม่ได้

ช่องโหว่ทั้ง 2 นั้นจะส่งผลกระทบต่อผู้ที่ใช้งานปลั๊กอิน WP Ultimate CSV Importer ตั้งแต่เวอร์ชัน 7.19 ลงมา โดยทางผู้พัฒนาได้ทราบถึงการมีอยู่ของช่องโหว่ดังกล่าว และได้ทำการออกอัปเดตเพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ดังนั้น ผู้ดูแลเว็บรายใดที่ได้ใช้ปลั๊กอินดังกล่าวอยู่ขอให้ทำการอัปเดตโดยด่วน