437/68 (IT) ประจำวันศุกร์ที่ 31 ตุลาคม 2568
นักวิจัยด้านความปลอดภัยพบช่องโหว่ในปลั๊กอิน Anti-Malware Security and Brute-Force Firewall สำหรับ WordPress ซึ่งมีการติดตั้งใช้งานมากกว่า 100,000 เว็บไซต์ทั่วโลก โดยช่องโหว่นี้ถูกระบุรหัส CVE-2025-11705 เกิดจากการขาดการตรวจสอบสิทธิ์ผู้ใช้ (Capability Check) ในฟังก์ชัน GOTMLS_ajax_scan() ทำให้ผู้ใช้ทั่วไปที่มีสิทธิ์ระดับ subscriber สามารถเรียกใช้งานฟังก์ชันดังกล่าวเพื่ออ่านไฟล์ใด ๆ บนเซิร์ฟเวอร์ได้ รวมถึงไฟล์สำคัญอย่าง wp-config.php ที่เก็บข้อมูลชื่อฐานข้อมูลและรหัสผ่าน ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลส่วนบุคคลและบัญชีผู้ดูแลระบบของเว็บไซต์
แม้ช่องโหว่นี้จะต้องอาศัยการล็อกอินเข้าสู่ระบบก่อนจึงจะถูกนำมาใช้โจมตี แต่เว็บไซต์ที่เปิดให้ผู้ใช้สมัครสมาชิก เช่น เว็บบล็อกหรือเว็บฟอรัม ยังคงมีความเสี่ยงสูง เนื่องจากผู้โจมตีสามารถสร้างบัญชีเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ หากเข้าถึงฐานข้อมูลสำเร็จ อาจนำไปสู่การขโมยข้อมูลผู้ใช้ รหัสผ่านที่ถูกแฮช คีย์ยืนยันตัวตน และข้อมูลภายในอื่น ๆ ซึ่งอาจส่งผลให้เว็บไซต์ถูกบุกรุกหรือข้อมูลรั่วไหล
ผู้พัฒนาได้ออกแพตช์แก้ไขในเวอร์ชัน 4.23.83 โดยเพิ่มการตรวจสอบสิทธิ์ผู้ใช้ผ่านฟังก์ชันใหม่ GOTMLS_kill_invalid_user() ผู้ดูแลเว็บไซต์ที่ยังใช้เวอร์ชันเก่ากว่า 4.23.81 ควรรีบอัปเดตปลั๊กอินโดยทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตีในอนาคต ข้อมูลจาก WordPress.org ระบุว่ามีเว็บไซต์กว่า 50,000 เว็บไซต์ที่อัปเดตแล้ว แต่ยังมีอีกจำนวนมากที่ยังคงใช้เวอร์ชันที่มีช่องโหว่ ทั้งนี้ Wordfence ระบุว่ายังไม่พบการโจมตีจริงในขณะนี้ แต่เตือนว่าการเปิดเผยรายละเอียดช่องโหว่อาจกระตุ้นให้ผู้ไม่หวังดีเริ่มใช้ประโยชน์จากช่องโหว่นี้
