ช่องโหว่ปลั๊กอิน WP Fastest Cache ทำให้เว็บไซต์ WordPress กว่า 600,000 เว็บเสี่ยงถูกโจมตี

495/66 (IT) ประจำวันศุกร์ที่ 17 พฤศจิกายน 2566

ปลั๊กอิน WP Fastest Cache ใน WordPress มีความเสี่ยงต่อช่องโหว่ SQL injection ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถอ่านเนื้อหาในฐานข้อมูลของเว็บไซต์ได้ ซึ่ง WP Fastest Cache เป็นปลั๊กอินที่ใช้เพื่อเพิ่มความเร็วในการโหลดหน้าเว็บไซต์ และเพิ่มอันดับของเว็บไซต์ ในการค้นหาของ Google โดยตามสถิติของ WordPress.org มีการใช้งานกว่าล้านเว็บไซต์ และจากสถิติการดาวน์โหลดจาก WordPress.org แสดงให้เห็นว่ามีเว็บไซต์มากกว่า 600,000 แห่ง ยังคงใช้งานปลั๊กอินในเวอร์ชันที่มีช่องโหว่และเสี่ยงต่อการโจมตีที่อาจเกิดขึ้นอยู่    

โดยมีทีมวิจัย WPScan จาก Automattic ได้เปิดเผยรายละเอียดของช่องโหว่ SQL injection หมายเลขช่องโหว่ CVE-2023-6063 และมีคะแนนความรุนแรงสูงถึง 8.6 ซึ่งส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันก่อน 1.2.2 ซึ่งโดยทั่วไปฐานข้อมูล WordPress จะมีข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลผู้ใช้ ที่อยู่ IP อีเมล ID รหัสผ่านบัญชี การตั้งค่าปลั๊กอินและธีม และข้อมูลอื่นๆ ที่จำเป็นสำหรับการทำงานของเว็บไซต์  ทั้งนี้ ทีมวิจัย WPScan จะปล่อย Proof-of-Concept (PoC) สำหรับช่องโหว่ CVE-2023-6063 ในวันที่ 27 พฤศจิกายน 2023 ซึ่งสิ่งที่ควรพิจารณาคือช่องโหว่นี้ ไม่ได้มีความซับซ้อน และแฮกเกอร์ที่ได้รับทราบวิธีการใช้ประโยชน์จากช่องโหว่นี้จะสามารถนำไปโจมตีเว็บไซต์ได้  ดังนั้น จึงขอแนะนำให้ผู้ดูแลระบบที่ใช้งานปลั๊กอิน WP Fastest Cache เร่งทำการอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

แหล่งข่าว https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/