เริ่มต้นปีใหม่มาได้เดือนนึงแล้ว WordPress ก็ยังคงถูกเหล่าผู้ไม่ประสงค์ดีหาทางโจมตีผู้ที่ใช้งาน WordPress ในการสร้างเว็บไซต์กันอย่างไม่ลดละ โดยคราวนี้เกิดขึ้นในปลั๊กอิน Nextend Social Login Pro ที่มีช่องโหว่ร้ายแรงด้านการตรวจสอบสิทธิ์ที่ล้มเหลว และอาจนำไปสู่การถูกยึดเว็บไซต์ได้
ปลั๊กอิน Nextend Social Login เป็นปลั๊กอินที่จะช่วยให้ผู้ที่เยี่ยมชมเว็บไซต์สามารถลงทะเบียน และเข้าสู่ระบบเว็บไซต์ของตนโดยใช้โปรไฟล์โซเชียลของพวกเขาได้โดยไม่จำเป็นต้องมานั่งกรอกข้อมูลการลงทะเบียนให้เสียเวลา โดยปลั๊กอินนี้ได้รับความนิยมและมีการติดตั้งใช้งานไปแล้วกว่า 3 แสนเว็บ
สำหรับช่องโหว่ที่พบนี้มีการระบุหมายเลขเป็น CVE-2025-1061 จัดอยู่ในหมวดการยืนยันตัวตน และการตรวจสอบสิทธิ์ที่ล้มเหลว มีระดับความรุนแรงที่ 9.8 ซึ่งมีความอันตรายอย่างมาก และอาจจะถูกนำใช้ประโยชน์กันอย่างแพร่หลาย โดยผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่นี้ดำเนินการบางอย่างเพื่อให้เข้าถึงเว็บไซต์ในฐานะผู้ดูแลระบบได้
ล่าสุดทางผู้พัฒนาปลั๊กอินได้ดำเนินการแก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 3.1.17 เพื่อความปลอดภัย แนะนำให้ผู้ที่ใช้งานปลั๊กอิน Nextend Social Login เวอร์ชัน 3.1.16 หรือต่ำกว่าอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด
สำหรับผู้ที่ใช้งาน WordPress กับ hostatom แล้วกังวลเรื่องความปลอดภัย สามารถติดต่อทีมงานของเรา ไม่ว่าจะให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามอย่างมืออาชีพ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัย
ที่มา : patchstack
