นักวิจัยด้านความปลอดภัยได้ออกมาแจ้งเตือนถึงช่องโหว่ที่พบในปลั๊กอิน Elementor และ Beaver Addons บน WordPress แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ทำการเข้ายึดเว็บ โดยไม่ต้องใช้รหัสผ่านเลย
เพื่อให้แฮกเกอร์ใช้ประโยชน์จากช่องโหว่นี้ได้ แฮกเกอร์จะใช้อีเมลของแอดมินของเว็บที่โดนโจตี โดยแฮกเกอร์ได้ติดตั้งปลั๊กอินสถิติ SEO ปลอม ซึ่งปลั๊กอินนี้จะติดตั้งหลังจากแฮกเกอร์ได้โหลดไฟล์ tmp.zip ลงบนเว็บWordPress เรียบร้อยแล้ว จากนั้นวางไฟล์ backdoor wp-xmlrpc.php ไว้ที่ root directory
จากการตรวจสอบของนักวิจัยจาก MalCare พบว่าปลั๊กอินทั้งสองตัวนี้อนุญาตให้ผู้ดูแลระบบสามารถรับรองความถูกต้องของรหัสผ่านทาง Login ของ Facebook และ Google
ช่องโหว่นี้มีผลกระทบกับ Ultimate Addons for Elementor เวอร์ชั่น 1.20.0 และ Ultimate Addons for Beaver Builder เวอร์ชั่น 1.24.0
ในตอนนี้จากการตรวจสอบของนักวิจัยพบว่า มีการนำช่องโหว่นี้ไปใช้อย่างแพร่หลายแล้ว ดังนั้น เพื่อเป็นการป้องกันการโจมตีนี้แนะนให้ทำการอัพเดทปลั๊กอิน Elementor version ให้เป็นเวอร์ชั่น 1.20.1และปลั๊กอิน Beaver Builder ให้เป็นเวอร์ชั่น 1.24.1
ที่มา The Hacker News