เมื่อวันที่ 30 สิงหาคม 2022 ทางทีม WordPress ได้ออก WordPress เวอร์ชัน 6.0.2 เพื่ออุด 3 ช่องโหว่ได้แก่
1. ช่องโหว่ SQL Injection via Links LIMIT clause ระดับความรุนแรงของช่องโหว่ 8 (ระดับสูง) ช่องโหว่นี้ส่งผลกระทบกับ WordPress เวอร์ชันที่ต่ำกว่า 6.0.2 ลงไป หมายเลขช่องโหว่ ในตอนนี้ยังไม่มี
ช่องโหว่นี้เป็นช่องโหว่ที่เกิดจากฟังก์ชันของ WordPress Link ที่เดิมรู้จักกันในชื่อ “Bookmarks” ซึ่งใน WordPress เวอร์ชันใหม่ ฟังก์ชันนี้จะถูกตั้งค่าเริ่มต้นไม่เปิดใช้งานอยู่ นั่นหมายถึงเว็บไซต์หลายล้านเว็บที่ยังคงใช้เวอร์ชันเก่าและเปิดใช้งานฟังก์ชันนี้เสี่ยงต่อการโดนโจมตีแน่นอน แต่อย่างไรก็ตามช่องโหว่นี้อาจจะยากต่อการเข้าถึงของแฮกเกอร์ เพราะผู้ที่จะเข้าถึงในส่วนนี้ได้จะต้องได้รับสิทธิ์ระดับแอดมินแอดมินเท่านั้น
2.ช่องโหว่ Contributor+ Stored Cross-Site Scripting via use of the_meta function ระดับความรุนแรงของช่องโหว่ 4.9 (ปานกลาง) ช่องโหว่นี้ส่งผลกระทบกับ WordPress เวอร์ชันที่ต่ำกว่า 6.0.2 ลงไป หมายเลขช่องโหว่ ในตอนนี้ยังไม่มี
ช่องโหว่นี้เป็นช่องโหว่ที่ช่วยให้ผู้ใช้ที่มีสิทธิ์เข้าไปแก้ไขโพสต์หรือบทความ สามารถเพิ่ม meta fields ส่งผลให้แฮกเกอร์ที่มีสิทธิ์ในระดับ Contributors สามารถใส่ไฟล์ JavaScript ที่เป็นอันตรายลงบนเพจหรือเพจ ที่เรียกใช้งานฟังก์ชัน the_meta
โดยปกติแล้ว WordPress ไม่มีการเรียกใช้งานฟังก์ชัน the_meta นี้ ซึ่งการจะใช้งานช่องโหว่นี้ได้จะต้องมีปลั๊กอินหรือธีมที่มีการเรียกใช้ฟังก์ชันนี้
3.ช่องโหว่ Stored Cross-Site Scripting via Plugin Deactivation and Deletion errors ระดับความรุนแรงของช่องโหว่ 4.7 (ปานกลาง) ช่องโหว่นี้ส่งผลกระทบกับ WordPress เวอร์ชันที่ต่ำกว่า 6.0.2 ลงไป หมายเลขช่องโหว่ ในตอนนี้ยังไม่มี
ช่องโหว่นี้เป็นช่องโหว่ที่แสดงข้อความ Error จากปลั๊กอินที่ถูกปิดจากการทำงานผิดพลาดหรือ ปลั๊กอินไม่ถูกลบออกไปเนื่องจาก Error โดยข้อความ Error จะต้องรันอยู่บนเบราว์เซอร์ของแอดมินที่เข้าชมหน้าที่มีปลั๊กอินนั้นทำงานอยู่ ช่องโหว่นี้จะเกิดจากปลั๊กอินที่เป็นอันตรายที่ถูกนำมาติดตั้งบนเว็บไซต์
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดต WordPress ให้เป็นเวอร์ชั่นล่าสุด คือเวอร์ชัน 6.0.2 เพื่อเป็นการป้องกันการโจมตี
ที่มาข่าว: Wordfence