เตือนผู้ใช้งานปลั๊กอิน WPForm ในตอนนี้พบช่องโหว่ที่ช่วยให้แฮกเกอร์ได้รับสิทธิ์ระดับสมาชิก ทำเรื่องขอเงินคืนผ่านระบบชำระเงินของ Stripe และยกเลิกการสมัครสมาชิกได้
ปลั๊กอิน WPForm เป็นปลั๊กอินสำหรับ WordPress ใช้เพื่อสร้างแบบฟอร์มต่างๆ ไม่ว่าจะเป็นแบบฟอร์มการติดต่อ ข้อเสนอแนะ การสมัครรับข้อมูล และการชำระเงิน ซึ่งมีการผูกกับผู้ให้บริการทางการเงินอย่าง Stripe, PayPal, Square และอื่นๆ
ปลั๊กอินนี้มีให้บริการทั้งเวอร์ชันพรีเมียม (WPForms Pro) และเวอร์ชันฟรี (WPForms Lite) โดยเวอร์ชันหลังมีการใช้งานบนเว็บไซต์ WordPress มากกว่า 6 ล้านเว็บไซต์
รายละเอียดของช่องโหว่มีดังนี้
- หมายเลข CVE – CVE-2024-11205
- ระดับความรุนแรง – 8.5 (สูง)
- เวอร์ชันที่ได้รับผลกระทบ – 1.8.4-1.9.2.1
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดคือ 1.9.2.2 เบื้องต้น ยังไม่มีรายงานถึงการใช้ช่องโหว่นี้แต่ขอแนะนำให้ทำการอัปเกรดเป็นเวอร์ชัน 1.9.2.2 โดยเร็วที่สุดหรือปิดใช้งานปลั๊กอินจากไซต์ของคุณ
เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนว่าความปลอดภัยบนโลกไซเบอร์เป็นเรื่องที่ไม่ควรมองข้าม การอัปเดตระบบและปลั๊กอินอย่างสม่ำเสมอเป็นสิ่งสำคัญเพื่อปกป้องข้อมูลและทรัพย์สินของเรา
ที่มา –Bleeping Computer, Wordfence