ช่องโหว่ร้ายแรงในปลั๊กอิน Forminator ส่งผลกระทบต่อเว็บไซต์ WordPress มากกว่า 300,000 แห่ง

145/67 (IT) ประจำวันอังคารที่ 23 เมษายน 2567

ปลั๊กอิน Forminator ใน WordPress ที่ใช้บนเว็บไซต์มากกว่า 500,000 แห่ง มีความเสี่ยงต่อช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถอัปโหลดไฟล์ได้ไม่จำกัดไปยังเซิร์ฟเวอร์ โดยหน่วยงาน CERT ของญี่ปุ่นได้เผยแพร่การแจ้งเตือนเกี่ยวกับพอร์ทัลบันทึกช่องโหว่ (JVN) คำเตือนเกี่ยวกับการมีอยู่ของช่องโหว่ระดับร้ายแรง ( CVE-2024-28890, CVSS v3: 9.8 ) ใน Forminator ที่อาจอนุญาตให้ผู้โจมตีระยะไกลอัปโหลดมัลแวร์บนเว็บไซต์ได้ โดยใช้ปลั๊กอิน “ผู้โจมตีระยะไกลอาจได้รับข้อมูลที่ละเอียดอ่อนโดยการเข้าถึงไฟล์บนเซิร์ฟเวอร์ หรือแก้ไขเว็บไซต์ที่ใช้ปลั๊กอิน และทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) ได้”

โดยมีรายการช่องโหว่ 3 รายการดังต่อไปนี้:

     – CVE-2024-28890  – การตรวจสอบไฟล์ไม่เพียงพอในระหว่างการอัปโหลดไฟล์ ทำให้ผู้โจมตีระยะไกลสามารถอัปโหลดและเรียกใช้ไฟล์ที่เป็นอันตรายบนเซิร์ฟเวอร์ของเว็บไซต์ได้ ส่งผลกระทบต่อ Forminator 1.29.0 และรุ่นก่อนหน้า

    – CVE-2024-31077  – ข้อบกพร่องในการแทรก SQL ช่วยให้ผู้โจมตีระยะไกลที่มีสิทธิ์ของผู้ดูแลระบบสามารถดำเนินการสืบค้น SQL โดยโดยอำเภอใจในฐานข้อมูลของเว็บไซต์ ส่งผลกระทบต่อ Forminator 1.29.3 และรุ่นก่อนหน้า

    – CVE-2024-31857  – ข้อบกพร่อง Cross-site scripting (XSS) ที่ทำให้ผู้โจมตีระยะไกลสามารถเรียกใช้ HTML และโค้ดสคริปต์ในเบราว์เซอร์ของผู้ใช้งานได้ หากถูกหลอกให้ติดตามลิงก์ที่สร้างขึ้นเป็นพิเศษ ส่งผลกระทบต่อ Forminator 1.15.4 และเก่ากว่า    

ผู้ดูแลเว็บไซต์ที่ใช้ปลั๊กอิน Forminator ควรทำการอัปเกรดปลั๊กอินเป็นเวอร์ชัน 1.29.3 ซึ่งจะแก้ไขช่องโหว่ทั้งสามรายการ จากสถิติของ WordPress.org แสดงให้เห็นว่า นับตั้งแต่เปิดตัวการอัปเดตความปลอดภัยในวันที่ 8 เมษายน 2024 ผู้ดูแลเว็บไซต์ประมาณ 180,000 ราย ได้ทำการดาวน์โหลดตัวอัปเดตปลั๊กอินนี้แล้ว แต่ยังมีเว็บไซต์อีก 320,000 แห่ง ที่ยังคงเสี่ยงต่อการถูกโจมตีดังกล่าวอยู่ ดังนั้น เพื่อลดการถูกโจมตีบนเว็บไซต์ WordPress ให้ใช้ปลั๊กอินนี้ให้น้อยที่สุด จึงทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด และปิดใช้งานปลั๊กอินที่ไม่ได้ใช้หรือที่จำเป็น

แหล่งข่าว https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/