พบช่องโหว่บนปลั๊กอิน Malcure สำหรับการสแกนมัลแวร์บน WordPress เปิดทางให้แฮกเกอร์เข้าลบไฟล์บนเว็บจากระยะไกลได้

เมื่อพูดถึง WordPress สิ่งที่เลี่ยงไม่ได้ที่จะพูดถึงคือ ปลั๊กอิน (Plug-In) ที่เข้ามาช่วยเสริมสมรรถนะในการทำงานของเว็บไซต์ที่สร้างบนเครื่องมือนี้อย่างมากมาย และแน่นอน เป็นอีกช่องทางยอดนิยมที่แฮกเกอร์มักใช้งานในการแฮกเว็บไซต์ เนื่องมาจากมีการตรวจพบช่องโหว่อยู่บนหลากปลั๊กอินนั่นเอง

จากรายงานโดยเว็บไซต์ Cyber Express ได้กล่าวถึงการตรวจพบช่องโหว่บนปลั๊กอิน Malcure ซึ่งเป็นเครื่องมือสำหรับใช้ในการสแกนมัลแวร์บนเว็บไซต์ที่ถูกสร้างขึ้นบนระบบของ WordPress ซึ่งฟังเผิน ๆ แล้วควรจะเป็นปลั๊กอินที่มีความปลอดภัย ทั้งยังมีความนิยมที่สูงพอสมควรเนื่องจากมีมากกว่า 1 หมื่นเว็บไซต์ ที่ใช้งานปลั๊กอินตัวนี้อยู่ ทว่า ปลั๊กอินตัวดังกล่าวนี้กลับมาพร้อมกับช่องโหว่ความปลอดภัยที่มีรหัสว่า CVE-2025-6043 ซึ่งเปิดช่องให้แฮกเกอร์สามารถใช้ในการลบไฟล์ที่ต้องการจากระยะไกลได้ ทำให้มีคะแนนความอันตราย หรือ CVSS Score ที่สูงถึง 8.1 เลยทีเดียว

รายละเอียดทางเทคนิคของช่องโหว่ดังกล่าวถูกเปิดเผยโดยทีมวิจัยจาก Wordfence บริษัทผู้เชี่ยวชาญด้านพัฒนาปลั๊กอินสำหรับรักษาความปลอดภัยบนเว็บไซต์ที่สร้างขึ้นบน WordPress ซึ่งตัวช่องโหว่นั้นจะเปิดช่องให้ผู้ใช้งานที่ได้รับสิทธิ์ (Authenticated User) ในการใช้งานเว็บไซต์ แม้จะเป็นสิทธิ์ในระดับที่ต่ำที่สุดเช่นผู้ติดตาม (Subscribers) สามารถเข้าลบไฟล์ที่อยู่บนเว็บไซต์ได้ เนื่องจากฟังก์ชัน wpmr_delete_file() สามารถถูกดึงขึ้นมาใช้งานได้โดยที่ไม่ได้รับการตรวจสอบสิทธิ์ในการเข้าถึง และใช้งานอย่างเพียงพอ ไม่เพียงแค่ในส่วนการลบไฟล์เท่านั้น แฮกเกอร์ยังสามารถใช้งานเพื่อทำการรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE ได้อีกด้วย โดยเฉพาะถ้ามีการเปิดโหมดการใช้งานระดับสูงอยู่

โดยช่องโหว่นี้จะมีผลต่อปลั๊กอินเวอร์ชัน 16.8 หรือ เวอร์ชันที่ต่ำกว่า ซึ่งขณะนี้ยังไม่มีการออกแพทซ์ หรือ อัปเดตมาเพื่อจัดการกับช่องโหว่ดังกล่าวแต่อย่างใด เพื่อลดความเสี่ยง ผู้ดูแลเว็บไซต์อาจพิจารณาลบปลั๊กอินแล้วเปลี่ยนไปใช้ตัวอื่นแทน ถ้าไม่ต้องการเสี่ยงรออัปเดตที่ยังไม่มีกำหนดว่าจะมีการออกมาให้อุดช่องโหว่ที่ยังไม่มีกำหนดวันที่ออกอย่างชัดเจน