แฮ็กเกอร์กำลังมุ่งเป้าโจมตีเว็บไซต์ WordPress ที่รันปลั๊กอิน WP Maps Pro เวอร์ชันที่มีช่องโหว่ ซึ่งช่วยให้สามารถสร้างบัญชี administrator ปลอมได้โดยไม่ต้องมีการยืนยันตัวตน (Authentication)
ช่องโหว่นี้มีหมายเลข CVE-2026-8732 โดยมีความรุนแรงระดับ critical และส่งผลกระทบต่อ WP Maps Pro เวอร์ชัน 6.1.0 และเก่ากว่า ช่องโหว่นี้ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยชื่อ David Brown
WP Maps Pro เป็นปลั๊กอิน WordPress แบบพรีเมียมสำหรับสร้างแผนที่ที่โต้ตอบได้ และปรับแต่งได้ รวมถึงระบบค้นหาตำแหน่งร้านค้า โดยรองรับผู้ให้บริการแผนที่หลายราย เช่น Google Maps และ OpenStreetMap
ปลั๊กอินนี้มียอดขายมากกว่า 15,800 ครั้งบน Envato Market มักถูกใช้งานโดยธุรกิจ, เว็บไซต์อสังหาริมทรัพย์, เว็บไซต์ท่องเที่ยว, ไดเรกทอรี และองค์กรที่จำเป็นต้องแสดงสถานที่หลายแห่งบนแผนที่
ช่องโหว่ CVE-2026-8732 เกิดจากฟีเจอร์ "temporary access" ในปลั๊กอิน ซึ่งมีวัตถุประสงค์เพื่อให้เจ้าหน้าที่ support ของผู้พัฒนาปลั๊กอินสามารถเข้าถึงเว็บไซต์ของลูกค้าเพื่อแก้ไขปัญหาได้
David Brown พบว่า AJAX endpoint ที่ใช้สำหรับฟีเจอร์นี้สามารถเข้าถึงได้โดยผู้ใช้ที่ยังไม่ได้ผ่านการยืนยันตัวตน และพึ่งพาเพียงแค่การตรวจสอบ nonce (Number used once) ที่ถูกเปิดเผยสู่สาธารณะใน JavaScript ฝั่ง frontend ส่งผลให้การป้องกันดังกล่าวไม่มีประสิทธิภาพ
สิ่งนี้ทำให้สามารถส่ง Request ที่ปรับแต่งมาเป็นพิเศษ ไปสั่งให้โค้ดทำงาน และสร้างผู้ใช้ WordPress รายใหม่, กำหนดสิทธิ์ให้เป็น administrator, สร้าง URL สำหรับ login แบบไม่ต้องใช้พาสเวิร์ด และส่งไปยังระบบจากระยะไกล
เมื่อผู้โจมตีเข้า URL นี้ จะได้รับการยืนยันตัวตนเพื่อเข้าสู่บัญชี administrator ที่สร้างขึ้นใหม่โดยอัตโนมัติ โดยไม่ต้องใช้พาสเวิร์ด หรือการยืนยันตัวตนอื่น ๆ
นักวิจัยจาก Defiant สังเกตพบว่า กลุ่มแฮ็กเกอร์กำลังพยายามโจมตีผ่านช่องโหว่นี้ และได้บล็อกการพยายามโจมตีไปมากกว่า 3,600 ครั้งในช่วง 24 ชั่วโมงที่ผ่านมา
นักวิจัยอธิบายว่า "เมื่อมีการส่ง Request โดยตั้งค่าพารามิเตอร์ check_temp เป็น false ฟังก์ชันจะสร้างผู้ใช้ WordPress รายใหม่ผ่าน wp_insert_user() พร้อมกำหนดสิทธิ์เป็น administrator แบบ hardcoded, มีการสร้าง username และใช้ email address แบบ hardcoded คือ support@flippercode.com"
"จากนั้นฟังก์ชันจะสร้าง “magic login URL” โดยใช้ generate_login_link(), จัดเก็บไว้เป็น user meta และส่งกลับมาใน response body"
การมีสิทธิ์เข้าถึงระดับ admin บนเว็บไซต์ หมายความว่าผู้โจมตีสามารถฝัง persistent backdoors, แก้ไขเนื้อหา, เข้าถึงข้อมูล, ติดตั้ง web shells, ติดตั้งปลั๊กอินที่เป็นอันตราย และยึดครองเว็บไซต์ได้
David Brown ได้รายงานช่องโหว่นี้ไปยัง Wordfence เมื่อวันที่ 24 มีนาคม และผู้พัฒนาปลั๊กอินได้รับแจ้งเมื่อวันที่ 16 พฤษภาคม หลังจากตรวจสอบความถูกต้องของการโจมตีแล้ว
เมื่อวันที่ 20 พฤษภาคม WP Maps Pro เวอร์ชัน 6.1.1 ได้ถูกปล่อยออกมาพร้อมกับการแก้ไขช่องโหว่ CVE-2026-8732 เรียบร้อยแล้ว แนะนำให้ผู้ดูแลเว็บไซต์ทำการอัปเดตปลั๊กอินโดยเร็วที่สุด เนื่องจากพบการพยายามโจมตีจริงแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.