ช่องโหว่ WPML Plugin ระดับ Critical ใน WordPress เสี่ยงต่อการถูกโจมตีแบบ Remote Code Execution

มีการเปิดเผยช่องโหว่ ระดับ critical ของ WPML WordPress multilingual plugin โดยเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถรันโค้ดบางอย่างจากระยะไกลภายใต้เงื่อนไขบางประการได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-6386 (คะแนน CVSS: 9.9) ส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 4.6.13 ซึ่งเปิดเผยเมื่อวันที่ 20 สิงหาคม 2024 ที่ผ่านมา

ช่องโหว่นี้เกิดขึ้นจากการไม่ได้ตรวจสอบ input validation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึง Contributor-level หรือสิทธิ์ที่สูงกว่า และสามารถเรียกใช้โค้ดบนเซิร์ฟเวอร์ได้

โดย WPML เป็นปลั๊กอินที่ได้รับความนิยมที่ใช้สร้างเว็บไซต์ WordPress หลายภาษา ซึ่งมีการติดตั้งโปรแกรม และใช้งานมากกว่าหนึ่งล้านครั้ง

นักวิจัยของ stealthcopter ซึ่งเป็นผู้ค้นพบ และรายงานช่องโหว่ CVE-2024-6386 ระบุว่าปัญหาอยู่ที่การจัดการกับ shortcodes ของ plugin ที่ใช้สำหรับแทรกเนื้อหาการโพสต์ เช่น เสียง รูปภาพ และวิดีโอ

นักวิจัยระบุว่า ปลั๊กอินนี้ใช้เทมเพลต Twig เพื่อแสดงเนื้อหาใน shortcodes แต่ไม่สามารถจัดการกับ input ได้อย่างเหมาะสม ซึ่งทำให้เกิด server-side template injection (SSTI) ได้

โดย SSTI (Server-Side Template Injection) เกิดขึ้นเมื่อผู้โจมตีใช้ native template syntax เพื่อแทรกเนื้อหาที่เป็นอันตรายลงในเทมเพลตเว็บ จากนั้นจะถูกรันโค้ดบนเซิร์ฟเวอร์จนทำให้เกิดช่องโหว่ และส่งผลให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่ถูกโจมตีได้

ทีมพัฒนา OnTheGoSystems ของปลั๊กอิน WPML ระบุว่า การอัปเดตนี้แก้ไขช่องโหว่ที่อนุญาตให้ผู้ใช้ที่มีสิทธิ์บางอย่างจะไม่สามารถใช้งานได้เหมือนเดิม แต่ปัญหานี้ไม่น่าจะเกิดขึ้น เนื่องจากผู้ใช้ต้องมีสิทธิ์แก้ไขใน WordPress และเว็บไซต์ต้องมีการตั้งค่าที่เฉพาะเจาะจง

คำแนะนำ ให้ผู้ใช้งานปลั๊กอินทำการอัปเดตแพตช์ล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

ที่มา : thehackernews