425/67 (IT) ประจำวันพฤหัสบดีที่ 28 พฤศจิกายน 2567
ช่องโหว่ระดับ Critical จำนวน 2 รายการที่ส่งผลกระทบต่อ Spam protection, Anti-Spam, และ FireWall ของ WordPress ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถติดตั้งและเปิดใช้งานปลั๊กอินที่เป็นอันตรายบนเว็บไซต์ที่เสี่ยงต่อการโจมตี และ remote code execution ได้ ที่ช่องโหว่หมายเลข CVE-2024-10542 และ CVE-2024-10781 มีคะแนนความรุนแรง CVSS 9.8 โดยช่องโหว่ทั้งสองได้รับการแก้ไขแล้วในเวอร์ชัน 6.44 และ 6.45 ที่เปิดตัวในเดือนนี้
ปลั๊กอิน CleanTalk ถูกติดตั้งบนเว็บไซต์ WordPress กว่า 200,000 เว็บไซต์ โดยมีความสามารถในการบล็อกสแปมจากความคิดเห็นและแบบฟอร์มต่าง ๆ อย่างไรก็ตาม หากผู้โจมตีสามารถติดตั้งปลั๊กอิน ที่อาจนำไปสู่การโจมตีจากระยะไกลได้ โดยเฉพาะหากปลั๊กอินเหล่านั้นมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข ดังนั้น การอัปเดตปลั๊กอินและระบบ WordPress เป็นสิ่งสำคัญสำหรับการลดความเสี่ยง
นอกจากนี้ Sucuri ได้เตือนถึงแคมเปญโจมตีหลายรูปแบบที่ใช้เว็บไซต์ WordPress ที่ถูกเจาะระบบ เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์หลอกลวง ขโมยข้อมูล ติดตั้งมัลแวร์ หรือรันโค้ด PHP บนเซิร์ฟเวอร์ ซึ่งเพิ่มความเสี่ยงต่อระบบ ผู้ดูแลระบบควรเสริมความปลอดภัยและตรวจสอบระบบอย่างสม่ำเสมอเพื่อลดโอกาสการถูกโจมตี
แหล่งข่าว https://thehackernews.com/2024/11/critical-wordpress-anti-spam-plugin.html
