Patchstack ได้ตรวจพบช่องโหว่ด้านความปลอดภัย 2 รายการในปลั๊กอิน Fancy Product Designer ที่ยังไม่ได้รับการแก้ไขในเวอร์ชันล่าสุด (เวอร์ชัน 6.4.3) ซึ่งส่งผลต่อกระทบต่อผู้ใช้เว็บไซต์ WordPress ที่ติดตั้งปลั๊กอินดังกล่าว
ปลั๊กอิน Fancy Product Designer เป็นปลั๊กอินพรีเมียมที่ใช้สำหรับปรับแต่งสินค้าใน WooCommerce ซึ่งมียอดขายกว่า 20,000 รายการ โดยมีรายละเอียดของช่องโหว่พบ 2 รายการ ดังนี้
- CVE-2024-51919 (CVSS 9.0) – อนุญาตแฮกเกอร์ให้อัปโหลดไฟล์ที่เป็นอันตรายโดยไม่ต้องตรวจสอบสิทธิ์ ซึ่งอาจนำไปสู่การรันคำสั่งโค้ดจากระยะไกล (RCE)
- CVE-2024-51818 (CVSS 9.3) – แฮกเกอร์สามารถส่งคำสั่ง SQL ที่เป็นอันตรายได้โดยไม่ต้องตรวจสอบสิทธิ์ เพื่อขโมยข้อมูลจากฐานข้อมูล
เพื่อความปลอดภัยของผู้ที่ใช้ปลั๊กอิน Fancy Product Designer แนะนำให้ปิดการใช้งานหรือถอนการติดตั้งปลั๊กอินจนกว่าจะมีอัปเดตแพตช์ความปลอดภัยออกมา
ที่มา : Infosecurity Magazine