ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ดูแลระบบเว็บไซต์ WordPress ให้เร่งตรวจสอบและอัปเดตปลั๊กอิน WPvivid Backup & Migration หลังพบช่องโหว่ความรุนแรงระดับ Critical ซึ่งอาจถูกนำไปใช้ในการเข้าควบคุมเว็บไซต์ได้
1. รายละเอียดช่องโหว่
ช่องโหว่หมายเลข CVE-2026-1357 มีคะแนนความรุนแรง CVSS 9.8 (Critical) เกิดจากการตรวจสอบไฟล์อัปโหลดที่ไม่เพียงพอ ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์อันตรายและสั่งรันโค้ดจากระยะไกล (Remote Code Execution: RCE) ได้โดยไม่ต้องยืนยันตัวตน
2. ผลกระทบที่อาจเกิดขึ้น
2.1 เว็บไซต์อาจถูกยึดควบคุม (Website Takeover)
2.2 ถูกฝัง Web Shell หรือมัลแวร์
2.3 ข้อมูลรั่วไหลหรือถูกแก้ไข
2.4 ถูกใช้เป็นฐานโจมตีระบบอื่น
3. เวอร์ชันที่ได้รับผลกระทบ
• WPvivid Backup & Migration เวอร์ชันก่อนหน้า 0.9.124
4. แนวทางการป้องกันเร่งด่วน
4.1 อัปเดตปลั๊กอินเป็นเวอร์ชัน 0.9.124 หรือใหม่กว่า โดยทันที
4.2 ตรวจสอบ Log และไฟล์ที่ถูกอัปโหลดผิดปกติ
4.3 ตรวจสอบบัญชีผู้ดูแลระบบที่ไม่ได้รับอนุญาต
4.4 สำรองข้อมูลเว็บไซต์และให้มีสำรองข้อมูลแบบออฟไลน์ (Offline Backup
5. อ้างอิง
