Marc-Alexandre Montpas วิศวกรด้านความปลอดภัยจากบริษัท Automattic Inc. ได้พบช่องโหว่ในปลั๊กอิน UpdraftPlus ซึ่งเป็นปลั๊กอินที่นิยมใช้กันบน WordPress ปัจจุบัน ปลั๊กอินนี้ได้รับการติดตั้งไปแล้วกว่า 3 ล้านเว็บไซต์
ช่องโหว่นี้จะช่วยให้ผู้ระดับสมาชิก (subscriber) สามารถดาวน์โหลดไฟล์ Backups ล่าสุดของเว็บไซต์ ซึ่งไฟล์ที่ดาวน์โหลดไปนั้นอาจประกอบด้วยข้อมูลที่สำคัญๆ เช่น ข้อมูลส่วนบุคคล (PII) ยกตัวอย่างเช่น ข้อมูลผู้ใช้งาน อย่างเบอร์โทร, ชื่อ-นามสกุล, ที่อยู่ และเลขบัตรประชาชน เป็นต้น หรือ IP Address เป็นต้น
ซึ่งปกติแล้วผู้ที่จะเข้าถึงไฟล์ Backups ของเว็บไซต์ได้นั้นจะต้องเป็นระดับ Administrator เท่านั้น
หมายเลขของช่องโหว่นี้คือ CVE-2022-0633 ซึ่งส่งผลกระทบกับปลั๊กอิน UpdraftPlus ตั้งแต่เวอร์ชั่น 1.16.7-1.22.2 ระดับความรุนแรงของช่องโหว่คือ 8.5 (ระดับสูง)
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตเวอร์ชันของปลั๊กอิน UpdraftPlus ให้เป็นเวอร์ชันล่าสุดคือ 1.22.3
ที่มา: Wordfence, Threat Post, Bleeping Computer