แฮ็กเกอร์กำลังใช้การโจมตีจากช่องโหว่ที่มีความรุนแรงระดับสูงสุดใน Modular DS plugin ของ WordPress ที่อาจทำให้พวกเขาสามารถ Bypass การยืนยันตัวตนจากระยะไกล และเข้าควบคุมเว็บไซต์ที่มีช่องโหว่ด้วยสิทธิ์ระดับผู้ดูแลระบบได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-23550 โดยส่งผลกระทบต่อ Modular DS เวอร์ชัน 2.5.1 และเก่ากว่า ซึ่งเป็น plugin สำหรับการบริหารจัดการที่ช่วยให้ผู้ใช้ดูแลเว็บไซต์ WordPress หลายแห่งได้จากหน้าจอเดียว
Plugin ดังกล่าวช่วยให้เจ้าของเว็บไซต์, นักพัฒนา หรือผู้ให้บริการ hosting สามารถตรวจสอบสถานะเว็บไซต์จากระยะไกล, ทำการอัปเดต, จัดการผู้ใช้งาน, เข้าถึงข้อมูลเซิร์ฟเวอร์, สั่งงานบำรุงรักษา และล็อกอินเข้าสู่ระบบได้ โดยปัจจุบัน Modular DS มียอดการติดตั้งใช้งานมากกว่า 40,000 ครั้ง
ข้อมูลจากนักวิจัยของ Patchstack ระบุว่า ขณะนี้มีการโจมตีผ่านช่องโหว่ CVE-2026-23550 เกิดขึ้นจริงแล้ว โดยตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 13 มกราคม เวลาประมาณ 21:00 น.
หลังจาก Patchstack ยืนยันการมีอยู่ของช่องโหว่ดังกล่าว และติดต่อไปยังผู้พัฒนาในวันถัดมา ทาง Modular DS ก็ตอบสนองอย่างรวดเร็วโดยปล่อยเวอร์ชัน 2.5.2 เพื่อแก้ไขช่องโหว่ดังกล่าวออกมาภายในเวลาเพียงไม่กี่ชั่วโมง
ช่องโหว่ดังกล่าวเกิดจากช่องโหว่หลายจุดรวมกัน ทั้งในส่วนการออกแบบ และการเขียนโค้ด โดยเฉพาะการที่ระบบยอมรับคำสั่งที่ส่งเข้ามาว่าเชื่อถือได้ทันทีเมื่อเปิดโหมด “direct request” โดยไม่มีการตรวจสอบยืนยันต้นทางด้วยการเข้ารหัสที่ปลอดภัย การทำงานลักษณะนี้ทำให้เส้นทางเข้าถึงส่วนสำคัญของระบบถูกเปิดเผย และไปกระตุ้นให้ระบบล็อกอินสิทธิ์ผู้ดูแลระบบทำงานโดยอัตโนมัติ
หากไม่มีการระบุ User ID มาในส่วน Request body ตัว Plugin จะดึงข้อมูลผู้ใช้ระดับ Admin หรือ Super Admin ที่มีอยู่ในระบบ แล้วทำการล็อกอินด้วยบัญชีนั้นโดยอัตโนมัติ
Patchstack อธิบายว่า “ในส่วนของ Controller ที่ไฟล์ src/app/Http/Controllers/AuthController.php ตรงเมธอด getLogin(SiteRequest $modularRequest) นั้น ตัวโค้ดจะพยายามอ่านค่า User ID ออกมาจากส่วน Body ของ $modularRequest”
นักวิจัยระบุต่อว่า "เนื่องจากโค้ดส่วนนี้สามารถเข้าถึงได้โดยผู้ใช้ที่ยังไม่ผ่านการยืนยันตัวตน ซึ่งเป็นผลมาจากช่องโหว่ที่อธิบายไปก่อนหน้านี้ จึงทำให้ผู้โจมตีสามารถ ยกระดับสิทธิ์ได้ทันที"
แพตช์แก้ไขใน Modular DS เวอร์ชัน 2.5.2 ได้ยกเลิกการ Route matching ที่ดูจาก URL ออกไปแล้ว โดยเปลี่ยนมาใช้ filter logic ที่ผ่านการตรวจสอบความถูกต้องเข้ามาคุมการทำงานทั้งหมดแทน
นอกจากนี้ ยังมีการตั้งค่าให้ส่งคืนสถานะ 404 เป็นค่า Default, ปรับระบบให้สนใจเฉพาะค่า ‘type’ เพื่อใช้เชื่อมโยงเส้นทางเท่านั้น และเพิ่มระบบจัดการความผิดพลาดที่ปลอดภัยเอาไว้รับมือกับ Request แปลกปลอมที่ระบบไม่รู้จักด้วย
ผู้ใช้งาน Modular DS ควรดำเนินการอัปเกรดเป็นเวอร์ชัน 2.5.2 หรือใหม่กว่าโดยเร็วที่สุด
ในประกาศแจ้งเตือนด้านความปลอดภัย ทางผู้พัฒนาได้แนะนำให้ผู้ใช้ตรวจสอบ Access Logs ของเซิร์ฟเวอร์เพื่อดูว่ามี Request ที่น่าสงสัยหรือไม่, เช็กรายชื่อผู้ดูแลระบบว่ามีบัญชีแปลกปลอมถูกแอบเพิ่มเข้ามาหรือไม่ และให้ทำการสร้างค่า WordPress Salts ใหม่ทั้งหมดหลังจากอัปเดตเป็นเวอร์ชันล่าสุดแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.