41/69 (IT) ประจำวันพฤหัสดีที่ 22 มกราคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์เปิดเผยการพบช่องโหว่ความรุนแรงระดับ critical ในปลั๊กอิน Advanced Custom Fields: Extended (ACF Extended) สำหรับระบบ WordPress ที่อาจถูกผู้โจมตีจากระยะไกลที่ไม่ได้ผ่านการยืนยันตัวตน ใช้เพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบ (Administrator) ได้ ที่ช่องโหว่หมายเลข CVE-2025-14533 โดยส่งผลกระทบต่อ ACF Extended เวอร์ชัน 0.9.2.1 และก่อนหน้า โดยปลั๊กอินดังกล่าวมีการใช้งานอยู่บนเว็บไซต์ราว 100,000 แห่ง ทั่วโลก
สาเหตุของช่องโหว่มาจากการที่ปลั๊กอินไม่ได้บังคับใช้ข้อจำกัดด้านบทบาทผู้ใช้งาน (role restriction) อย่างเหมาะสม ในกระบวนการสร้างหรือแก้ไขบัญชีผู้ใช้ผ่านฟังก์ชัน Insert User / Update User ทำให้ผู้โจมตีสามารถกำหนดบทบาทผู้ใช้งานได้ตามต้องการ รวมถึงบทบาทผู้ดูแลระบบ แม้จะมีการตั้งค่าจำกัดบทบาทไว้แล้วก็ตาม นักวิจัยจาก Wordfence ระบุว่าช่องโหว่นี้อาจนำไปสู่การยึดครองเว็บไซต์ทั้งหมด อย่างไรก็ดี การโจมตีจะเกิดขึ้นได้เฉพาะเว็บไซต์ที่มีการใช้งานฟอร์มสร้างหรือแก้ไขผู้ใช้ และมีการผูกฟิลด์บทบาท (role field) เข้ากับฟอร์มดังกล่าว
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Andrea Bocchetti และถูกรายงานไปยัง Wordfence เมื่อวันที่ 10 ธันวาคม 2568 ก่อนที่ผู้พัฒนาจะออกแพตช์แก้ไขในเวอร์ชัน 0.9.2.2 ภายในสี่วันถัดมา ซึ่งอย่างไรก็ตาม จากสถิติการดาวน์โหลดพบว่ามีผู้ใช้งานประมาณ 50,000 เว็บไซต์ ที่ยังอาจคงใช้งานเวอร์ชันที่มีความเสี่ยงอยู่ ขณะเดียวกัน รายงานจาก GreyNoise ระบุว่าพบกิจกรรมสอดแนมปลั๊กอิน WordPress ในวงกว้าง เพื่อค้นหาเว็บไซต์ที่มีช่องโหว่ แม้ยังไม่พบการโจมตีที่ใช้ช่องโหว่นี้โดยตรง ผู้ดูแลระบบจึงควรเร่งอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด และตรวจสอบการตั้งค่าฟอร์มที่เกี่ยวข้อง เพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์
