ได้มีการพบ 2 ช่องโหว่ใน ปลั๊กอิน Store Locator Plus Plugin ซึ่งเป็นปลั๊กอินสำหรับ WordPress และในตอนนี้ปลั๊กอินนี้ได้ถูกติดตั้งบนเว็บกว่า 9,000 เว็บแล้ว
ช่องโหว่ที่เกิดขึ้นมีดังนี้
- ช่องโหว่ Authenticated Privilege Escalation ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชั่น 5.5.14 ลงไป ความรุนแรงของช่องโหว่อยู่ที่ 9.9 แม้ว่าจะมีแพตช์อัพเดทออกมาเวอร์ชั่น 5.5.15 แล้ว แต่ก็ยังป้องกันไม่ดีพอ
ช่องโหว่นี้จะช่วยให้แฮกเกอร์ได้รับสิทธิ์ระดับแอดมิน และทำให้สามารถเข้ายึดเว็บไซต์ได้ - ช่องโหว่ Unauthenticated Stored Cross-Site Scripting ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชั่น 5.5.15 ลงไป ความรุนแรงของช่องโหว่อยู่ที่ 7.2 และยังไม่มีแพตช์อุดช่องโหว่นี้ออกมา
ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถฉีด JavaScript ที่เป็นอันตรายลงบนเว็บ, สร้าง Backdoor หรือเพิ่มบัญชีแอดมินเข้าไปทำให้สามารถเข้ายึดเว็บไซต์ได้
เพื่อเป็นการป้องกันการโจมตี แนะนำให้ปิดการใช้งาน และถอนการติดตั้งปลั๊กอินนี้ออกก่อนชั่วคราวจนกว่าแพตช์แก้ไขจะออกมา
ที่มา: Wordfence