295/69 (IT) ประจำวันอังคารที่ 2 มิถุนายน 2569
พบภัยคุกคามที่พุ่งเป้าโจมตีเว็บไซต์ที่ใช้งานระบบ WordPress ผ่านช่องโหว่ของปลั๊กอิน WP Maps Pro ซึ่งเป็นส่วนเสริมสำหรับใช้สร้างแผนที่แบบอินเทอร์แอกทีฟที่มีผู้ใช้งานจำนวนมาก ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-8732 ถูกจัดอยู่ในระดับวิกฤต (Critical) ส่งผลกระทบต่อปลั๊กอินเวอร์ชัน 6.1.0 และที่เก่ากว่า โดยเปิดโอกาสให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ (Administrator) ปลอมขึ้นมาได้โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ซึ่งอาจนำไปสู่การยึดครองเว็บไซต์และการเข้าถึงข้อมูลสำคัญของหน่วยงานราชการ องค์กรธุรกิจ หรือบริษัทต่าง ๆ ที่นำปลั๊กอินนี้ไปใช้งาน
ช่องโหว่นี้มีต้นเหตุมาจากฟังก์ชันการให้สิทธิ์เข้าถึงชั่วคราว (Temporary Access) ที่เดิมออกแบบมาเพื่ออำนวยความสะดวกแก่ทีมสนับสนุนของนักพัฒนาปลั๊กอิน ในการแก้ไขปัญหาให้ลูกค้า แต่ระบบขาดการตรวจสอบการเข้าถึงที่รัดกุม ทำให้ผู้ไม่หวังดีสามารถส่งคำสั่งผ่านพารามิเตอร์ที่กำหนดเพื่อหลอกระบบ เมื่อระบบได้รับคำสั่ง จะทำการสร้างบัญชีผู้ดูแลระบบใหม่ทันที พร้อมกำหนดชื่อผู้ใช้แบบสุ่ม และใช้ที่อยู่อีเมล support@flippercode[.]com รวมถึงสร้างลิงก์สำหรับเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน เมื่อผู้โจมตีเข้าใช้งานผ่านลิงก์ดังกล่าว จะได้รับสิทธิ์ระดับสูงสุด ทำให้สามารถฝังโปรแกรมไม่พึงประสงค์ ดัดแปลงข้อมูล หรือยึดการควบคุมเว็บไซต์ได้อย่างสมบูรณ์ โดยเบื้องต้นมีรายงานการตรวจพบความพยายามในการโจมตีผ่านช่องโหว่นี้แล้วหลายพันครั้ง
ปัจจุบันผู้พัฒนาปลั๊กอินได้รับทราบถึงปัญหาและได้เผยแพร่การอัปเดตเวอร์ชัน 6.1.1 เพื่อแก้ไขช่องโหว่ CVE-2026-8732 เป็นที่เรียบร้อยแล้ว ดังนั้น ผู้ดูแลระบบเว็บไซต์ที่ใช้งานปลั๊กอิน WP Maps Pro ควรดำเนินการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตี นอกจากนี้ ผู้ดูแลระบบควรตรวจสอบรายชื่อผู้ใช้งานในระบบอย่างละเอียด หากพบบัญชีผู้ดูแลระบบที่ไม่คุ้นเคย บัญชีที่มีชื่อขึ้นต้นด้วย fc_user_ หรือบัญชีที่เชื่อมโยงกับอีเมล support@flippercode[.]com ให้ดำเนินการระงับสิทธิ์และลบบัญชีดังกล่าวทันที พร้อมทั้งตรวจสอบความสมบูรณ์ของไฟล์เว็บไซต์เบื้องต้นเพื่อลดความเสี่ยงและสร้างความมั่นใจในความปลอดภัยของระบบ