273/68 (IT) ประจำวันพุธที่ 30 กรกฎาคม 2568

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Patchstack ได้เปิดเผยช่องโหว่ร้ายแรงในปลั๊กอิน Post SMTP ซึ่งเป็นปลั๊กอินยอดนิยมสำหรับส่งอีเมลในเว็บไซต์ WordPress ที่มีการติดตั้งใช้งานมากกว่า 400,000 เว็บไซต์ทั่วโลก โดยช่องโหว่นี้มีหมายเลขระบุเป็น CVE-2025-24000 และเกิดจากปัญหาการควบคุมสิทธิ์การเข้าถึงที่บกพร่อง (Broken Access Control) ซึ่งอนุญาตให้ผู้ใช้งานที่ลงทะเบียนทั่วไป เช่น ผู้ติดตาม (subscriber) สามารถเข้าถึงข้อมูลอีเมลภายในระบบได้โดยไม่ได้รับอนุญาต
ข้อมูลจากรายงานระบุว่า แฮกเกอร์สามารถใช้ช่องโหว่นี้เพื่อดูสถิติการส่งอีเมล เรียกส่งอีเมลซ้ำ และเข้าถึงบันทึกอีเมลซึ่งอาจมีเนื้อหาอ่อนไหว รวมถึงอีเมลแจ้งเตือนการเปลี่ยนรหัสผ่านของผู้ดูแลระบบ เมื่อได้ข้อมูลดังกล่าว แฮกเกอร์สามารถใช้เพื่อรีเซ็ตรหัสผ่านและเข้าควบคุมเว็บไซต์ได้อย่างสมบูรณ์ ทั้งนี้ทางผู้พัฒนาได้ออกแพตช์แก้ไขในเวอร์ชัน 3.3 ตั้งแต่วันที่ 11 มิถุนายนที่ผ่านมา อย่างไรก็ตาม จากข้อมูลบนเว็บไซต์ WordPress[.]org พบว่ามีเว็บไซต์เพียงไม่ถึงครึ่งที่อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด หมายความว่ามีเว็บไซต์มากกว่า 200,000 แห่ง ที่ยังคงเสี่ยงต่อการถูกโจมตี ผู้ดูแลเว็บไซต์จึงควรเร่งอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เพราะปลั๊กอินและธีมของ WordPress มักตกเป็นเป้าหมายของแฮกเกอร์ที่ใช้ช่องโหว่ในการยึดเว็บไซต์อย่างต่อเนื่อง