พบช่องโหว่ปลั๊กอิน WordPress ในปลั๊กอิน “Really Simple Security” หรือชื่อเดิม “Really Simple SSL” ซึ่งใช้ในเว็บไซต์หลายล้านแห่งทั่วโลก ทั้งเวอร์ชันฟรีและแบบเสียเงิน
ปลั๊กอิน Really Simple Security เป็นปลั๊กอินที่ช่วยเพิ่มความปลอดภัยให้กับเว็บไซต์ โดยทำให้ลิงก์ของเว็บไซต์ที่ขอ SSL Certificates แสดงผลเป็น https://ชื่อเว็บไซต์
ช่องโหว่นี้จะช่วยให้แฮกเกอร์ได้รับสิทธิ์แอดมินโดยไม่ต้องมีการตรวจสอบสิทธิ์ สามารถเข้ายึดเว็บไซต์ได้
รายละเอียดของช่องโหว่มีดังนี้
- หมายเลขช่องโหว่ – CVE-2024-10924
- ระดับความรุนแรงของช่องโหว่ – 9.8 (สูง)
- เวอร์ชันที่ได้รับผลกระทบ – 9.0.0-9.1.1.1
ช่องโหว่นี้เกิดจากการตรวจสอบสิทธิ์ 2 ขั้นตอนใน REST API ทำให้แฮกเกอร์สามารถ Login เข้าได้โดยไม่ต้องมีการตรวจสอบใด ๆ
เพื่อป้องกันความเสี่ยงจากช่องโหว่ในปลั๊กอิน แนะนำให้อัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด 9.1.2 โดยปัจจุบันมีเว็บไซต์กว่า 450,000 แห่งที่อัปเดตแล้ว อย่างไรก็ตาม ยังมีเว็บไซต์อีกมากกว่า 3.5 ล้านแห่ง ที่ยังคงใช้งานเวอร์ชันเก่าซึ่งเสี่ยงต่อการโจมตีจากแฮกเกอร์ ผู้ดูแลเว็บไซต์ควรดำเนินการอัปเดตทันทีเพื่อเพิ่มความปลอดภัยและป้องกันข้อมูลสูญหายจากการถูกโจมตี
ที่มา –Bleeping Computer, Wordfence