ทางทีม Wordfence Threat Intelligence ได้พบการโจมตีแบบ Cross-Site Scripting ใน Elementor สำหรับ WordPress เมื่อวันที่ 23 กุมภาพันธ์ที่ผ่านมา แฮกเกอร์จะใช้ประโยชน์จากการโจมตีนี้ทำการเข้ายึดเว็บไซต์ในฐานะผู้ดูแลระบบได้เลย
ช่องโหว่นี้เกิดในพารามิเตอร์ header_size ซึ่งปกติแล้วผู้ใช้จะสามารถใช้ tag H1 จนถึง H6 ผ่านทางพารามิเตอร์นี้แต่ tag เหล่านี้ไม่ได้มีการตรวจสอบความถูกต้องในฝั่งของเซิร์ฟเวอร์ ส่งผลให้ผู้ใช้ทุกคนสามารถเข้าแก้ไข Elementor ผ่านทางช่องทางนี้ ทำให้สามารถเพิ่ม JavaScript ลงในเพจหรือโพสได้
แฮกเกอร์จะใช้ช่องโหว่นี้ทำการเพิ่ม JavaScript ที่เป็นอันตรายลงไปในโพสหรือเพจ และหากแอดมินผู้ดูแลระบบตรวจสอบแล้วอนุญาตให้โพสลงที่มี JavaScript ที่แฮกเกอร์สร้างขึ้น จะเป็นการสร้าง Backdoor ให้กับเว็บ ทำให้แฮกเกอร์สามารถทำการโจมตีแบบ Cross-Site Scripting ยึดเว็บได้
ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอิน Elementor เวอร์ชั่น 3.1.2 ลงไป เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุด คือ 3.1.4
ที่มา: Wordfence