หนีไม่พ้น! พบช่องโหว่บนปลั๊กอิน Wishlist สำหรับ Wordpress ทำเอากว่าแสนเว็บไซต์อยู่ใต้ความเสี่ยง
Wordpress ถึงแม้จะเป็นเครื่องมือสำหรับใช้ในการสร้างเว็บไซต์ที่ได้รับความนิยมสูงสุดทั้งผู้ใช้งานทั่วไป องค์กรต่าง ๆ ตลอดจนนักการตลาด แต่ก็มักจะได้ข่าวถึงการที่บัญชีผู้ใช้งานถูกแฮก หรือมีช่องโหว่ด้านความปลอดภัยให้ได้เห็นอยู่บ่อย ๆ ดังเช่นข่าวนี้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยของปลั๊กอิน (Plug In) ที่มีชื่อว่า TI WooCommerce Wishlist ซึ่งเป็นเครื่องมือสำหรับใช้ในการสร้างรายชื่อสินค้าที่ต้องการจะซื้อพร้อมทั้งสามารถแชร์ลงบนโซเชียลมีเดียได้ หรือ Wishlist บนเว็บไซต์ E-Commerce ที่ถูกสร้างขึ้นบนเว็บไซต์ Wordpress โดยช่องโหว่ดังกล่าวนั้นมีรหัสคือ CVE-2025-47577 เป็นช่องโหว่ที่มีคะแนนความร้ายแรง (CVSS Score) ที่สูงถึงระดับ 10.0 โดยจะส่งผลต่อผู้ใช้งานปลั๊กอินดังกล่าวตั้งแต่เวอร์ชัน 2.9.2 ลงไป ซึ่งช่องโหว่ดังกล่าวนั้นจะส่งผลให้แฮกเกอร์สามารถอัปโหลดไฟล์ต่าง ๆ ที่ไม่ได้รับอนุญาต อย่างเช่น เครื่องมือสำหรับการแฮก หรือ ไฟล์มัลแวร์ต่าง ๆ ขึ้นสู่เว็บไซต์ได้ โดยปลั๊กอินตัวนี้มีเว็บไซต์ที่ติดตั้งใช้งานมากกว่าแสนเว็บเลยทีเดียว
ซึ่งข้อมูลในเชิงเทคนิคนั้น ช่องโหว่ดังกล่าวเกิดจากฟังก์ชัน "tinvwl_upload_file_wc_fields_factory" โดยฟังก์ชันนี้จะใช้งานฟังก์ชันระดับ Native บนตัว Wordpress ที่มีชื่อว่า "wp_handle_upload" แต่กลับมีการตั้งค่าของฟังก์ชั่นสำหรับการเข้าแทรกแซงพารามิเตอร์ (Override Parameters) อย่าง "test_form" และ "test_type" เป็น "false"
สำหรับ "test_type" ว่ารูปแบบไฟล์ที่ถูกอัปโหลดขึ้นมาเป็นไปตามมาตรฐาน Multipurpose Internet Mail Extension (MIME) หรือไม่ ขณะที่"test_form" จะเป็นการตรวจสอบในส่วนของพารามิเตอร์ $_POST['action'] ว่าทำงานอย่างถูกต้องหรือไม่ ซึ่งเมื่อค่าฟังก์ชัน "test_type" ถูกตั้งค่าเป็น "false" ก็จะส่งผลให้ระบบการแทรกแซงนั้นถูกปิด จนแฮกเกอร์สามารถอัปโหลดไฟล์ทุกชนิดอย่างไร้ข้อจำกัดขึ้นสู่เว็บไซต์ผ่านทางช่องทางนี้ได้
นอกจากนั้นทางแหล่งข่าวยังได้กล่าวอีกว่า จากการตรวจสอบพบว่า ช่องโหว่ดังกล่าวจะเปิดขึ้นก็ต่อเมื่อฟังก์ชัน “tinvwl_meta_wc_fields_factory หรือ “tinvwl_cart_meta_wc_fields_factory” ปลั๊กอินอีกตัวอย่าง WC Fields Factory ถูกเปิดใช้งานอยู่บนระบบที่มีการใช้งานปลั๊กอินที่เป็นประเด็นข้างต้นอยู่ในเวลาเดียวกันเท่านั้น ซึ่งในขณะนี้ทางผู้พัฒนาปลั๊กอิน TI WooCommerce Wishlist ยังไม่ได้มีการออกอัปเดตเพื่อจัดการกับปัญหาดังกล่าวแต่อย่างใด ดังนั้นผู้ที่ใช้งานอยู่ ณ ปัจจุบัน อาจพิจารณาในการงดใช้งานปลั๊กอินตัวใดตัวหนึ่งเพื่อเลี่ยงปัญหาที่อาจเกิดขึ้นไปพลางก่อน
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv