แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ระดับ critical ในปลั๊กอิน User Registration & Membership ซึ่งติดตั้งอยู่ในเว็บไซต์ WordPress มากกว่า 60,000 เว็บไซต์
ปลั๊กอินดังกล่าวเป็นเครื่องมือสำหรับจัดการระบบสมาชิก และการลงทะเบียน โดยมีฟีเจอร์เด่น ๆ เช่น การสร้างแบบฟอร์มลงทะเบียน,ระบบชำระเงินผ่าน Paypal และ Stripe, การโอนเงินผ่านธนาคาร รวมถึงระบบวิเคราะห์ข้อมูลผู้ใช้งาน
ช่องโหว่ความปลอดภัยนี้มีหมายเลข CVE-2026-1492 ซึ่งถูกจัดระดับความรุนแรงไว้ในระดับ Critical 9.8 เต็ม 10 เพราะตัวปลั๊กอินเปิดช่องให้ผู้สมัครสามารถกำหนดระดับสิทธิ์ได้เองในขั้นตอนลงทะเบียน ส่งผลให้แฮ็กเกอร์สามารถสร้างบัญชีผู้ดูแลระบบ เพื่อเข้ายึดเว็บไซต์ได้ทันที โดยไม่จำเป็นต้องมีรหัสผ่าน หรือผ่านการยืนยันตัวตนใด ๆ
บัญชีผู้ดูแลระบบนั้นมีสิทธิ์เข้าถึงทุกส่วนของเว็บไซต์ได้อย่างสมบูรณ์ ไม่ว่าจะเป็นการติดตั้งปลั๊กอิน และธีม, การแก้ไขโค้ด PHP, การตั้งค่าความปลอดภัย, การปรับปรุงเนื้อหา, ไปจนถึงการตัดสิทธิ์เจ้าของเว็บไซต์ หรือผู้ดูแลระบบตัวจริงไม่ให้เข้าใช้งานได้
ผู้ไม่หวังดีที่มีสิทธิ์ในระดับนี้สามารถขโมยข้อมูลสำคัญ เช่น ฐานข้อมูลสมาชิกที่ลงทะเบียนไว้ และยังสามารถฝังโค้ดอันตรายเพื่อแพร่กระจายมัลแวร์ไปยังผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ได้อีกด้วย
นักวิจัยรายงานว่า พวกเขาได้บล็อคการโจมตีผ่านช่องโหว่ CVE-2026-1492 ไปแล้วมากกว่า 200 ครั้งในระบบของลูกค้า
เวอชันที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อปลั๊กอิน User Registration & Membership ทุกเวอร์ชันจนถึงเวอร์ชัน 5.1.2 โดยทางผู้พัฒนาได้ออกแพตช์แก้ไขมาแล้วในเวอร์ชัน 5.1.3 ทั้งนี้ผู้ดูแลเว็บไซต์ได้รับคำแนะนำให้รีบอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด ซึ่งปัจจุบันคือเวอร์ชัน 5.1.4 ที่เพิ่งปล่อยออกมาเมื่อสัปดาห์ที่ผ่านมา
ในกรณีที่ไม่สามารถทำการอัปเดตได้ ข้อแนะนำคือให้ปิดการใช้งาน หรือถอนการติดตั้งปลั๊กอินนี้ออกไปเป็นการชั่วคราวก่อน
จากข้อมูลของ Wordfence ระบุว่า CVE-2026-1492 ถือเป็นช่องโหว่ที่มีระดับความรุนแรงมากที่สุดของปลั๊กอิน User Registration & Membership เท่าที่มีการเปิดเผยออกมาในปีนี้
แฮ็กเกอร์ยังคงมุ่งเป้าโจมตีเว็บไซต์ WordPress อย่างต่อเนื่องเพื่อใช้เป็นเครื่องมือในกิจกรรมที่ผิดกฎหมายหลากหลายรูปแบบ เช่น การแพร่กระจายมัลแวร์, การทำเว็บไซต์หลอกลวง, การตั้งเซิร์ฟเวอร์ควบคุม, การใช้เป็นตัวกลางส่งต่อทราฟฟิกที่เป็นอันตราย หรือแม้แต่ใช้เป็นที่เก็บข้อมูลที่ขโมยมา
เมื่อเดือนมกราคม 2026 ที่ผ่านมา แฮ็กเกอร์เริ่มโจมตีผ่านช่องโหว่ที่มีความรุนแรงระดับสูงสุด CVE-2026-23550 ในปลั๊กอิน Modular DS ของ WordPress ซึ่งเปิดช่องให้แฮ็กเกอร์สามารถ bypass การยืนยันตัวตน และเข้ายึดเว็บไซต์ที่มีช่องโหว่ได้ทันทีด้วยสิทธิ์ระดับผู้ดูแลระบบ
ที่มา: bleepingcomputer
You must be logged in to post a comment.