303/69 (IT) ประจำวันศุกร์ที่ 5 มิถุนายน 2569
นักวิจัยจาก Defiant (Wordfence) เตือนผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน WordPress Kirki และ Burst Statistics เพื่อยกระดับสิทธิ์และเข้าควบคุมเว็บไซต์ โดยช่องโหว่แรกคือ CVE-2026-8206 (CVSS 9.8) ใน Kirki เวอร์ชัน 6.0.0 ถึง 6.0.6 เป็นช่องโหว่ยกระดับสิทธิ์และยึดบัญชีผู้ใช้จากกระบวนการรีเซ็ตรหัสผ่าน ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถส่งคำขอโดยระบุชื่อผู้ใช้และอีเมลที่ผู้โจมตีควบคุม เพื่อรับลิงก์รีเซ็ตรหัสผ่านของบัญชีเป้าหมายได้
อีกช่องโหว่พบในปลั๊กอิน Burst Statistics เวอร์ชัน 3.4.0 ถึง 3.4.1.1 เป็นช่องโหว่ Authentication Bypass ที่เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบและเข้าควบคุมเว็บไซต์ที่มีช่องโหว่ได้ โดยปัญหาเกิดจากฟังก์ชันที่ใช้ตรวจสอบ Application Password จัดการค่า return value ไม่ถูกต้อง ส่งผลให้ผู้โจมตีสามารถเข้าถึงฟังก์ชันระดับผู้ดูแลระบบ เช่น การสร้างบัญชีผู้ดูแลใหม่และเข้าควบคุมเว็บไซต์ได้
Defiant ระบุว่าได้บล็อกความพยายามโจมตีจำนวนมากที่พุ่งเป้าช่องโหว่ทั้งสองรายการและมีเว็บไซต์จำนวนมากที่อาจได้รับผลกระทบ โดย Kirki มีการติดตั้งใช้งานมากกว่า 500,000 เว็บไซต์ โดยประมาณ 150,000 เว็บไซต์ ยังใช้เวอร์ชันที่มีช่องโหว่ ขณะที่ Burst Statistics มีการติดตั้งมากกว่า 200,000 เว็บไซต์ ผู้ดูแลระบบควรเร่งอัปเดตเป็น Kirki 6.0.7 หรือใหม่กว่า และ Burst Statistics 3.4.2 หรือใหม่กว่า รวมถึงตรวจสอบบัญชีผู้ดูแลระบบที่ถูกสร้างขึ้นใหม่หรือกิจกรรมรีเซ็ตรหัสผ่านที่ผิดปกติ เพื่อป้องกันการถูกยึดเว็บไซต์
แหล่งข่าว https://www.securityweek.com/kirki-burst-statistics-wordpress-plugin-flaws-in-attackers-crosshairs/