227/69 (IT) ประจำวันจันทร์ที่ 27 เมษายน 2569
นักวิจัยจาก Wordfence เปิดเผยการพบช่องโหว่ระดับ Critical ที่หมายเลข CVE-2026-3844 (CVSS 9.8) ในปลั๊กอิน Breeze Cache ของ WordPress ที่พัฒนาโดย Cloudways โดยช่องโหว่อาจทำให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์เข้าสู่เซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน (Unauthenticated File Upload) และมีความเสี่ยงนำไปสู่การรันโค้ด (Remote Code Execution) ปัจจุบันปลั๊กอินดังกล่าวถูกใช้งานในเว็บไซต์มากกว่า 400,000 แห่ง และมีรายงานตรวจพบความพยายามโจมตีแล้วอย่างน้อย 170 ครั้ง
ช่องโหว่ดังกล่าวเกิดจากการขาดการตรวจสอบประเภทไฟล์ในฟังก์ชัน “fetch_gravatar_from_remote” ส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์อันตรายไปยังระบบได้ อย่างไรก็ตาม การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งานฟีเจอร์ “Host Files Locally – Gravatars” ซึ่งค่าเริ่มต้นถูกปิดไว้ ทั้งนี้ ช่องโหว่ส่งผลกระทบต่อปลั๊กอินเวอร์ชัน 2.4.4 และก่อนหน้า โดยได้รับการแก้ไขแล้วในเวอร์ชัน 2.4.5
จากข้อมูลล่าสุด Wordfence ระบุว่าสามารถบล็อกความพยายามโจมตีที่เกี่ยวข้องกับช่องโหว่นี้ได้มากกว่า 3,900 ครั้งภายในระยะเวลา 24 ชั่วโมง ที่แสดงถึงความเสี่ยงที่เพิ่มขึ้นอย่างรวดเร็ว ผู้ดูแลเว็บไซต์จึงควรดำเนินการอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดโดยเร่งด่วน หรือพิจารณาปิดการใช้งานชั่วคราว รวมถึงตรวจสอบการตั้งค่าและเฝ้าระวังพฤติกรรมผิดปกติ เพื่อป้องกันการถูกยึดครองเว็บไซต์และการรั่วไหลของข้อมูลสำคัญ