HealthCERT ออกประกาศแจ้งเตือนช่องโหว่ร้ายแรงในปลั๊กอิน Forminator บน WordPress โดยชี้ว่าช่องโหว่นี้กระทบต่อเว็บไซต์ที่ใช้ WordPress ซึ่งมีมากกว่า 500,000 เว็บไซต์ที่ใช้บริการในปัจจุบันนี้
ช่องโหว่ที่ว่านี้ เริ่มจากช่องโหว่ระดับร้ายแรงในรหัส CVE-2024-28890 ที่อนุญาตให้มีการเจาะระบบควบคุมจากระยะไกล (remote attacker) โดยใช้ช่องโหว่บนปลั๊กอินนี้อัปโหลดมัลแวร์เข้าไปในเว็บไซต์ และทำให้กลายเป็นช่องทางของการโจมตีด้วยวิธีการ Denial of Service (DoS) หรือการกระหน่ำการจราจรทางอินเทอร์เน็ต (Traffic) ไปยังเว็บไซต์จนล่มได้ โดยจะมีผลกับ Forminator เวอร์ชัน 1.29.0 หรือเก่ากว่านั้น
ช่องโหว่อันต่อมาคือ CVE-2024-31077 ซึ่งเปิดโอกาสให้เกิดการโจมตีแบบ SQL Injection ที่จะช่วยให้ผู้โจมตีที่มีสิทธิของแอดมินสามารถค้นหา SQL บนฐานข้อมูลภายในเว็บไซต์ได้อย่างอิสระ โดยช่องโหว่ตัวนี้จะมีผลกับ Forminator เวอร์ชัน 1.29.3 ลงไป
ช่องโหว่สุดท้ายนั้นคือ CVE-2024-31857 เป็นช่องโหว่แบบ Cross-site scripting (XSS) ที่ทำให้การเจาะระบบควบคุมจากระยะไกลเรียกใช้ HTML และสคริปต์ในเบราว์เซอร์ของเหยื่อที่เผลอกดเข้าไปในลิงก์ของผู้โจมตี (มีผลกับ Forminator 1.15.4 ลงไป)
HealthCERT แนะนำให้แอดมินหรือผู้ใช้งานที่ใช้งานตัว Forminaor ควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยทันที
สำหรับปลั๊กอิน Forminator นั้นให้ความสามารถกับแอดมินเว็บไซต์ WordPress ในการสร้างฟอร์มได้หลากหลายรูปแบบ ตั้งแต่กรอกข้อมูลทั่วไป แบบสอบถาม ตั้งโพลล์ ไปจนถึงฟอร์มสัญญา และการชำระเงินผ่านช่องทางต่าง ๆ ซึ่งหากไม่ระวังอาจก่อให้เกิดความเสียหายต่อผู้ใช้งานและฐานข้อมูลต่างๆ ในระบบ ฉะนั้นแล้วเราควรอัพเดตปลั๊กอินต่างๆ ให้ทันสมัยและเป็นเวอร์ชั่นใหม่เสมอเพื่อป้องกันการเจาะระบบในอนาคต
เครดิต