เมื่อวันที่ 26 มกราคม 2023 ทีมงาน Wordfence ได้พบช่องโหว่ 2 รายการ บนปลั๊กอิน All In One SEO Pack ซึ่งเป็นปลั๊กอินตัวหนึ่งของ WordPress ที่ได้มีการติดตั้งบนเว็บไซต์กว่า 3 ล้านเว็บไซต์ ซึ่งช่องโหว่ที่พบคือ ช่องโหว่ Stored Cross-Site Scripting แบ่งออกเป็นดังนี้
ช่องโหว่ที่ 1 คือ ช่องโหว่หมายเลข CVE-2023-0585 ระดับความรุนแรง 4.4 (กลาง) ส่งผลกระทบต่อปลั๊กอินตั้งแต่เวอร์ชัน 4.2.9 ลงไป โดยแฮกเกอร์จะต้องได้รับสิทธิ์ระดับผู้ดูแลระบบในการเข้าถึงในการแทรกสคริปต์เว็บอันตรายเข้ามา และจะดำเนินการเมื่อใดก็ตามที่มีการโหลดหน้าเว็บ
ช่องโหว่ที่ 2 คือ ช่องโหว่หมายเลข CVE-2023-0586 ระดับความรุนแรง 6.4 (กลาง) ส่งผลกระทบต่อปลั๊กอินตั้งแต่เวอร์ชัน 4.2.9 ลงไป โดยแฮกเกอร์จะต้องได้รับสิทธิ์ระดับ Contributor หรือสูงกว่าในการเข้าถึงในการแทรกสคริปต์เว็บอันตรายเข้ามา และจะดำเนินการเมื่อใดก็ตามที่มีการโหลดหน้าเว็บ
ช่องโหว่เหล่านี้จะทำให้แฮกเกอร์สามารถโจมตีแบบ Cross-Site Scripting และหากโจมตีสำเร็จแฮกเกอร์จะสามารถเข้าแทรกแซงและสร้างความเสียหายต่อเว็บไซต์ได้ทันที
ซึ่งในเบื้องต้นทางทีมงาน Wordfence ได้รายงานปัญหาช่องโหว่นี้ไปยังทีมผู้พัฒนาและได้มีการอัปเดตแพทซ์ล่าสุดออกมาเป็นเวอร์ชัน 4.3.0 ดังนั้นเพื่อเป็นการป้องกันควรอัปเดตแพทซ์ปลั๊กอิน All In One SEO Pack ให้เป็นเวอร์ชันล่าสุด
ที่มา : Wordfence