นักวิจัยด้านความปลอดภัย Rafie Muhammad ได้พบการโจมตีแบบ Cross-Site Scripting (XSS) โดยอาศัยช่องโหว่จากปลั๊กอิน Download Manager ซึ่งเป็นปลั๊กอินสำหรับ WordPress และได้ถูกนำไปติดตั้งบนเว็บไซต์ไปแล้วกว่า 1 แสนเว็บ
ช่องโหว่นี้จะช่วยให้แฮกเกอร์ทำการโจมตีแบบ Cross-Site Scripting (XSS) เมื่อการโจมตีสำเร็จ แฮกเกอร์จะสามารถเข้าถึงส่วนการจัดการระดับแอดมิน ทำให้แฮกเกอร์สามารถดูข้อมูลลูกค้าหรือสมาชิก แก้ไขการตั้งค่าการชำระเงิน รวมไปถึงเพิ่มสินค้าปลอมลงบนเว็บไซต์ หรือสร้าง Backdoor บนเว็บไซต์ได้
ช่องโหว่นี้ถูกพบเมื่อวันที่ 30 พฤษภาคม 2022 ที่ผ่านมา โดยมีรายละเอียด ดังนี้
ดังนั้น เพื่อเป็นการป้องกัน ควรอัปเดตเวอร์ชันของปลั๊กอิน Download Manager ให้เป็นเวอร์ชันล่าสุดคือ 3.4.43
ที่มา: Wordfence