Patchstack ได้มีการแจ้งเตือนเกี่ยวกับช่องโหว่ SQL Injection โดยที่ไม่ต้องยืนยันตัวตนบนปลั๊กอิน Product Filter by WBW ซึ่งสามารถเป็นช่องทางให้แฮกเกอร์เข้าถึงฐานข้อมูลของเว็บไซต์ได้โดยตรงเพื่อขโมยข้อมูลสำคัญ หรือดัดแปลงข้อมูลในระบบได้
ปลั๊กอิน Product Filter by WBW เป็นปลั๊กอินสำหรับเว็บไซต์ Woocommerce ที่จะช่วยเพิ่มประสิทธิภาพให้ลูกค้าสามารถค้นหาสินค้าได้สะดวกมากขึ้น ผ่านระบบการกรองสินค้าแบบละเอียด โดยปลั๊กอินนี้ได้รับความนิยม และมีการติดตั้งใช้งานไปแล้วกว่า 6 หมื่นเว็บ
สำหรับช่องโหว่ที่พบได้มีการระบุหมายเลขเป็น CVE-2025-2317 มีระดับความรุนแรงอยู่ที่ 9.3 (สูงมาก) โดยช่องโหว่นี้เกิดจากพารามิเตอร์ filtersDataBackend ที่เปิดช่องให้แฮกเกอร์สามารถส่งคำสั่ง SQL ที่เป็นอันตรายเข้ามาได้โดยไม่ต้องล็อกอิน ซึ่งอาจทำให้ข้อมูลรั่วไหล หรือถึงขั้นถูกยึดเว็บได้เลย
อย่างไรก็ตาม ทางผู้พัฒนาปลั๊กอินได้ดำเนินการอัปเดตแพทช์แก้ไขช่องโหว่ดังกล่าวแล้ว เพื่อความปลอดภัย แนะนำให้ผู้ที่ใช้งานปลั๊กอิน Product Filter by WBW ในเวอร์ชัน 2.7.9 หรือต่ำกว่ารีบอัปเดตเป็นเวอร์ชัน 2.8.0 หรือใหม่กว่าในทันที หากไม่สามารถอัปเดตได้ในทันที แนะนำให้ปิดการใช้งานปลั๊กอินนี้ไปก่อนชั่วคราว ใช้ระบบรักษาความปลอดภัยที่มีการป้องกัน SQL Injection หรือตรวจสอบความผิดปกติในฐานข้อมูล และระบบหลังบ้านอย่างสม่ำเสมอ
สำหรับผู้ที่ใช้งานกับ hostatom หากกังวลเรื่องความปลอดภัยในเว็บไซต์ WordPress ของคุณ สามารถติดต่อทีมงานของเรา ให้ช่วยคุณอัปเดตปลั๊กอิน ตรวจสอบระบบ หรือป้องกันภัยคุกคามต่าง ๆ ได้อย่างมืออาชีพ เพื่อให้มั่นใจได้ว่าเว็บไซต์ของคุณทำงานได้อย่างปลอดภัยอยู่เสมอ
ที่มา : patchstack
