เมื่อวันที่ 11 พฤศจิกายน 2021 ที่ผ่านมา ทางทีม Wordfence Threat Intelligence ได้พบช่องโหว่ในปลั๊กอิน Photoswipe Masonry Gallery ซึ่งเป็นปลั๊กอินสำหรับ WordPress และในตอนนี้ได้รับการติดตั้งไปแล้วกว่า 1 หมื่นเว็บไซต์
ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถทำการโจมตีแบบ Cross-Site Scripting ฉีด JavaScript ที่เป็นอันตราย แล้วเข้าสู่หน้าตัวเลือก PhotoSwipe ได้ด้วยสิทธิ์ระดับแอดมิน และนำไปสู่การเข้ายึดเว็บไซต์ได้
หมายเลขของช่องโหว่นี้คือ CVE-2022-0750 ช่องโหว่นี้มีผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 1.2.14 ลงไประดับความรุนแรงของช่องโหว่คือ 6.4 (ปานกลาง)
เบื้องต้นทางทีม Wordfence Threat Intelligence ได้แจ้งไปยังผู้พัฒนาปลั๊กอิน Photoswipe Masonry Gallery แล้ว แต่ไม่ได้รับการตอบกลับใดๆ ก็เลยส่งเรื่องไปยังทีมปลั๊กอินของ wordpress.org เมื่อวันที่ 20 พฤศจิกายน 2021
จนกระทั่งวันที่ 14 มกราคม 2022 ได้มีการออกแพตช์ใหม่เพื่อแก้ปัญหาช่องโหว่ ซึ่งก็คือเวอร์ชัน 1.2.15 และล่าสุดขณะเขียนบทความนี้ แพตช์ล่าสุดคือ 1.2.18
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้อัปเดตปลั๊กอิน Wordfence Threat Intelligence เป็นเวอร์ชันล่าสุด
ที่มา Wordfence