มีการค้นพบช่องโหว่ในปลั๊กอน User Profile Picture Plugin ส่งผลให้แฮกเกอร์สามารถเข้าไปเอาข้อมูลที่สำคัญ เช่นรหัสผ่านได้
ช่องโหว่นี้เกิดจาก REST API route ในการอัปโหลด upload_files เมื่อมีการเพิ่มโพสใน Guternberg ปลั๊กอินจะร้องขอข้อมูลของผู้โพสเพื่อดึงรูปโปรไฟล์ และชื่อผู้ใช้ รวมไปถึงข้อมูลต่างๆ
แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ขโมยข้อมูลที่สำคัญๆ อย่างรหัสผ่าน ไปได้
ช่องโหว่นี้มีผลกระทบกับปลั๊กอิน User Profile Picture Plugin ตั้งแต่เวอร์ชั่น 2.4.0 ลงไป โดยหมายเลขช่องโหว่คือ CVE-2021-24170 ระดับความรุนแรงของช่องโหว่คือ 6.5 (Medium)
เพื่อเป็นการป้องกัน แนะนำให้อัปเดตเป็นเวอร์ชั่นล่าสุดคือ เวอร์ชั่น 2.5.0
ที่มา: Wordfence