พบช่องโหว่ใน Starter Templates Plugin ส่งผลให้เข้ายึดเว็บไซต์ได้

มีการพบช่องโหว่ใน Starter Templates Plugin ชื่อเต็มคือ “Starter Templates — Elementor, Gutenberg & Beaver Builder Templates” ซึ่งเป็นปลั๊กอินสำหรับ WordPress

ช่องโหว่นี้จะช่วยให้ผู้ใช้ระดับ Contributor สามารถเปลี่ยนแปลงหน้าเพจหรือโพสต์ในเว็บไซต์ได้ โดยการใช้ JavaScript ได้ 

แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ใส่ Javascript ที่เป็นอันตรายลงไป เพื่อเปลี่ยนเส้นทางไปยังเว็บที่เป็นอันตราย หรือบังคับให้ผู้ดูแลระบบสร้างบัญชีผู้ดูแลระบบใหม่ที่เป็นอันตรายหรือเพิ่ม Backdoor บนเว็บไซต์ เพื่อทำการเข้ายึดเว็บไซต์

ช่องโหว่นี้มีผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 2.7.0 ลงไป ระดับความรุนแรงของช่องโหว่คือ 7.6 (ระดับสูง) หมายเลขช่องโหว่ คือ CVE-2021-42360 

ในตอนนี้ปลั๊กอินนี้มีถูกติดตั้งแล้วกว่า 1 ล้านเว็บไซต์ดังนั้นเพื่อเป็นการป้องกันแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดคือ 2.7.1 

ที่มา: Wordfence