ช่องโหว่ 2 รายการในปลั๊กอิน Avada Builder สำหรับ WordPress ซึ่งประเมินว่ามีการติดตั้ง และใช้งานอยู่ถึง 1 ล้านเว็บไซต์ อาจทำให้แฮ็กเกอร์สามารถอ่านไฟล์ต่าง ๆ ได้ตามต้องการ และดึงข้อมูลสำคัญออกจากฐานข้อมูลได้
หนึ่งในช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-4782 ซึ่งสามารถถูกโจมตีได้ในปลั๊กอินทุกเวอร์ชันจนถึง 3.15.2 โดยผู้ใช้ที่ผ่านการยืนยันตัวตน และมีสิทธิ์การเข้าถึงอย่างน้อยในระดับสมาชิก จะสามารถอ่านเนื้อหาของไฟล์ใดก็ได้บนเซิร์ฟเวอร์
ส่วนช่องโหว่อีกรายการหนึ่งที่มีหมายเลข CVE-2026-4798 ซึ่งเป็นช่องโหว่ประเภท SQL injection ที่สามารถนำมาใช้ในการโจมตีได้โดยไม่ต้องมีการยืนยันตัวตน อย่างไรก็ตาม การโจมตีนี้จะเกิดขึ้นได้ก็ต่อเมื่อปลั๊กอิน WooCommerce e-commerce สำหรับ WordPress เคยถูกเปิดใช้งาน และถูกปิดการใช้งานไปแล้วเท่านั้น
Avada Builder เป็นปลั๊กอินสำหรับสร้างหน้าเว็บแบบ drag-and-drop สำหรับธีม Avada บน WordPress ซึ่งช่วยให้สามารถสร้าง และปรับแต่ง Layouts เว็บไซต์, ส่วนของเนื้อหา และองค์ประกอบการออกแบบต่าง ๆ ได้โดยไม่ต้องเขียนโค้ด
ช่องโหว่ทั้งสองรายการนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่ชื่อ Rafie Muhammad ซึ่งได้รายงานช่องโหว่ดังกล่าวผ่านโปรแกรม Wordfence Bug Bounty และได้รับรางวัลสำหรับการค้นพบเป็นเงินจำนวน 3,386 ดอลลาร์สหรัฐฯ และ 1,067 ดอลลาร์สหรัฐฯ ตามลำดับ
Wordfence ระบุว่า การอ่านไฟล์ตามต้องการนั้นสามารถทำได้ผ่านฟังก์ชัน shortcode-rendering ของปลั๊กอิน และพารามิเตอร์ custom_svg ปัญหาคือปลั๊กอินไม่ได้ตรวจสอบความถูกต้องของประเภทไฟล์ หรือแหล่งที่มาอย่างเหมาะสม ทำให้ผู้ไม่หวังดีสามารถเข้าถึงไฟล์สำคัญ ๆ อย่าง wp-config.php ซึ่งโดยปกติแล้วจะใช้เก็บข้อมูล Credentials ของฐานข้อมูล และ Cryptographic keys
การเข้าถึงไฟล์ wp-config.php อาจนำไปสู่การเจาะบัญชีผู้ดูแลระบบ และเข้าควบคุมเว็บไซต์ได้อย่างสมบูรณ์
แม้ว่าช่องโหว่นี้จะได้รับการประเมินความรุนแรงไว้ในระดับปานกลาง เนื่องจากจำเป็นต้องใช้สิทธิ์การเข้าถึงในระดับสมาชิก แต่เงื่อนไขดังกล่าวก็ไม่ได้เป็นอุปสรรคในการโจมตีแต่อย่างใด เนื่องจากเว็บไซต์ WordPress จำนวนมากเปิดให้ผู้ใช้งานทั่วไปสามารถลงทะเบียนได้
ช่องโหว่ Time-based blind SQL injection ถูกติดตามด้วยหมายเลข CVE-2026-4798 ส่งผลกระทบต่อ Avada Builder ในเวอร์ชัน 3.15.1 ลงมา ช่องโหว่นี้เกิดขึ้นเนื่องจากข้อมูลอินพุตจากพารามิเตอร์ product_order ที่ผู้ใช้สามารถควบคุมได้ ถูกนำไปแทรกไว้ในคำสั่ง ORDER BY ของ SQL โดยไม่ได้ผ่านกระบวนการ Query preparation อย่างเหมาะสม
ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถใช้ช่องโหว่นี้เพื่อดึงข้อมูลสำคัญออกจากฐานข้อมูลของเว็บไซต์ได้ ซึ่งรวมถึงข้อมูล Password hashes โดยมีเงื่อนไขเบื้องต้นว่าเว็บไซต์ดังกล่าวจะต้องเคยใช้งานปลั๊กอิน WooCommerce และได้ทำการปิดการใช้งานไปแล้ว แต่ database tables ยังคงอยู่ครบถ้วน
ช่องโหว่ทั้ง 2 รายการนี้ถูกส่งไปยัง Wordfence เมื่อวันที่ 21 มีนาคม และมีการรายงานไปยังผู้พัฒนา Avada Builder ในวันที่ 24 มีนาคม จากนั้นได้มีการปล่อยเวอร์ชัน 3.15.2 ซึ่งเป็นการแก้ไขปัญหาเพียงบางส่วนออกมาเมื่อวันที่ 13 เมษายน ในขณะที่เวอร์ชัน 3.15.3 ซึ่งมีการแก้ไขช่องโหว่นี้ได้อย่างสมบูรณ์ได้ถูกปล่อยออกมาเมื่อวันที่ 12 พฤษภาคมที่ผ่านมา
ผู้ดูแลเว็บไซต์ที่ได้รับผลกระทบควรทำการอัปเดต Avada Builder ให้เป็นเวอร์ชัน 3.15.3 โดยเร็วที่สุด
ที่มา : bleepingcomputer
You must be logged in to post a comment.