ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่ในปลั๊กอิน WP Maps Pro สำหรับ WordPress ถูกนำไปใช้โจมตีจริง โดยผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ หรือ Administrator Account บนเว็บไซต์ WordPress ที่มีช่องโหว่ได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยช่องโหว่ดังกล่าวมีความเสี่ยงสูง เนื่องจากหากผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบได้สำเร็จ อาจเข้าควบคุมเว็บไซต์ แก้ไขเนื้อหา ติดตั้งปลั๊กอินอันตราย ฝังมัลแวร์ เปลี่ยนเส้นทางผู้ใช้งานไปยังเว็บไซต์อันตราย หรือใช้เว็บไซต์เป็นฐานในการโจมตีต่อไปได้ จึงแนะนำให้ผู้ดูแลเว็บไซต์ WordPress ที่ใช้งานปลั๊กอิน WP Maps Pro ตรวจสอบและอัปเดตเป็นเวอร์ชันล่าสุดทันที [1]
1. รายละเอียดช่องโหว่[2]
ช่องโหว่ CVE-2026-8732 ( มีคะแนน cvss v 3.1:9.8 ) เป็นช่องโหว่ประเภท Privilege Escalation หรือการยกระดับสิทธิ์ โดยเกิดจากการทำงานของฟังก์ชันที่เกี่ยวข้องกับการให้สิทธิ์เข้าถึงชั่วคราว หรือ Temporary Access ในปลั๊กอิน WP Maps Pro ซึ่งมีการป้องกันที่ไม่เพียงพอ
ผู้โจมตีที่ยังไม่ได้เข้าสู่ระบบสามารถส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษไปยังเว็บไซต์ที่มีช่องโหว่ เพื่อสร้างบัญชีผู้ใช้งานที่มีสิทธิ์ระดับผู้ดูแลระบบได้ เมื่อสร้างบัญชีสำเร็จ ผู้โจมตีอาจเข้าสู่ระบบในฐานะ Administrator และควบคุมเว็บไซต์ได้อย่างสมบูรณ์
ผลกระทบที่อาจเกิดขึ้น ได้แก่ การยึดเว็บไซต์ การแก้ไขหรือทำลายข้อมูล การฝังโค้ดอันตราย การฝังลิงก์ผิดกฎหมายหรือไม่พึงประสงค์ การขโมยข้อมูลผู้ใช้งาน และการใช้เว็บไซต์เป็นช่องทางแพร่กระจายมัลแวร์
2. เวอร์ชันที่ได้รับผลกระทบ[3]
2.1 WP Maps Pro เวอร์ชัน 6.1.0 และต่ำกว่า
2.2 เว็บไซต์ WordPress ที่ติดตั้งและเปิดใช้งาน WP Maps Pro เวอร์ชันที่มีช่องโหว่
2.3 เว็บไซต์ที่ไม่ได้อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุดตามที่ผู้พัฒนาเผยแพร่
3. แนวทางการแก้ไข
3.1 อัปเดตปลั๊กอิน WP Maps Pro เป็นเวอร์ชันล่าสุดทันที
3.2 ตรวจสอบบัญชีผู้ใช้งานใน WordPress โดยเฉพาะบัญชีระดับ Administrator ที่ถูกสร้างขึ้นใหม่หรือไม่ทราบที่มา
3.3 ลบบัญชีผู้ใช้งานที่ผิดปกติหรือไม่ได้รับอนุญาตออกจากระบบ
3.4 ตรวจสอบปลั๊กอิน ธีม และไฟล์ของเว็บไซต์ว่ามีการติดตั้งหรือแก้ไขโดยไม่ได้รับอนุญาตหรือไม่
3.5 ตรวจสอบ Log ของเว็บไซต์ เช่น Access Log, Error Log และ WordPress Activity Log เพื่อหาพฤติกรรมการโจมตี
3.6 เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบทั้งหมด และเปิดใช้งาน Multi-Factor Authentication หากระบบรองรับ
4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 ปิดใช้งานปลั๊กอิน WP Maps Pro ชั่วคราวจนกว่าจะสามารถอัปเดตเป็นเวอร์ชันที่ปลอดภัยได้
4.2 จำกัดการเข้าถึงหน้า wp-admin เฉพาะ IP Address ที่เชื่อถือได้
4.3 สำรองข้อมูลเว็บไซต์และฐานข้อมูลก่อนดำเนินการแก้ไข
4.4 ใช้ Web Application Firewall หรือปลั๊กอินด้านความปลอดภัยเพื่อช่วยตรวจจับคำขอที่ผิดปกติ
4.5 ตรวจสอบไฟล์ที่ถูกแก้ไขล่าสุด เพื่อค้นหาไฟล์ที่อาจถูกฝังโค้ดอันตราย
4.6 หากพบว่าเว็บไซต์ถูกยึดหรือมีบัญชีผู้ดูแลระบบแปลกปลอม ควรดำเนินการ Incident Response และกู้คืนจาก Backup ที่เชื่อถือได้
แหล่งอ้างอิง