145/67 (IT) ประจำวันอังคารที่ 23 เมษายน 2567
ปลั๊กอิน Forminator ใน WordPress ที่ใช้บนเว็บไซต์มากกว่า 500,000 แห่ง มีความเสี่ยงต่อช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถอัปโหลดไฟล์ได้ไม่จำกัดไปยังเซิร์ฟเวอร์ โดยหน่วยงาน CERT ของญี่ปุ่นได้เผยแพร่การแจ้งเตือนเกี่ยวกับพอร์ทัลบันทึกช่องโหว่ (JVN) คำเตือนเกี่ยวกับการมีอยู่ของช่องโหว่ระดับร้ายแรง ( CVE-2024-28890, CVSS v3: 9.8 ) ใน Forminator ที่อาจอนุญาตให้ผู้โจมตีระยะไกลอัปโหลดมัลแวร์บนเว็บไซต์ได้ โดยใช้ปลั๊กอิน “ผู้โจมตีระยะไกลอาจได้รับข้อมูลที่ละเอียดอ่อนโดยการเข้าถึงไฟล์บนเซิร์ฟเวอร์ หรือแก้ไขเว็บไซต์ที่ใช้ปลั๊กอิน และทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) ได้”
โดยมีรายการช่องโหว่ 3 รายการดังต่อไปนี้:
– CVE-2024-28890 – การตรวจสอบไฟล์ไม่เพียงพอในระหว่างการอัปโหลดไฟล์ ทำให้ผู้โจมตีระยะไกลสามารถอัปโหลดและเรียกใช้ไฟล์ที่เป็นอันตรายบนเซิร์ฟเวอร์ของเว็บไซต์ได้ ส่งผลกระทบต่อ Forminator 1.29.0 และรุ่นก่อนหน้า
– CVE-2024-31077 – ข้อบกพร่องในการแทรก SQL ช่วยให้ผู้โจมตีระยะไกลที่มีสิทธิ์ของผู้ดูแลระบบสามารถดำเนินการสืบค้น SQL โดยโดยอำเภอใจในฐานข้อมูลของเว็บไซต์ ส่งผลกระทบต่อ Forminator 1.29.3 และรุ่นก่อนหน้า
– CVE-2024-31857 – ข้อบกพร่อง Cross-site scripting (XSS) ที่ทำให้ผู้โจมตีระยะไกลสามารถเรียกใช้ HTML และโค้ดสคริปต์ในเบราว์เซอร์ของผู้ใช้งานได้ หากถูกหลอกให้ติดตามลิงก์ที่สร้างขึ้นเป็นพิเศษ ส่งผลกระทบต่อ Forminator 1.15.4 และเก่ากว่า
ผู้ดูแลเว็บไซต์ที่ใช้ปลั๊กอิน Forminator ควรทำการอัปเกรดปลั๊กอินเป็นเวอร์ชัน 1.29.3 ซึ่งจะแก้ไขช่องโหว่ทั้งสามรายการ จากสถิติของ WordPress.org แสดงให้เห็นว่า นับตั้งแต่เปิดตัวการอัปเดตความปลอดภัยในวันที่ 8 เมษายน 2024 ผู้ดูแลเว็บไซต์ประมาณ 180,000 ราย ได้ทำการดาวน์โหลดตัวอัปเดตปลั๊กอินนี้แล้ว แต่ยังมีเว็บไซต์อีก 320,000 แห่ง ที่ยังคงเสี่ยงต่อการถูกโจมตีดังกล่าวอยู่ ดังนั้น เพื่อลดการถูกโจมตีบนเว็บไซต์ WordPress ให้ใช้ปลั๊กอินนี้ให้น้อยที่สุด จึงทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด และปิดใช้งานปลั๊กอินที่ไม่ได้ใช้หรือที่จำเป็น