ช่องโหว่ระดับ Critical ใน add-on Ninja Forms File Uploads ระดับพรีเมียมบนWordPress ทำให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์ใด ๆ เข้าสู่ระบบได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่นี้มีหมายเลข CVE-2026-0740 และในปัจจุบันกำลังถูกใช้ในการโจมตีจริง โดยข้อมูลจาก Defiant บริษัทด้านความปลอดภัยของ WordPress ระบุว่า Firewall Wordfence สามารถบล็อกการโจมตีได้มากกว่า 3,600 ครั้ง ภายในช่วง 24 ชั่วโมงที่ผ่านมา

Ninja Forms เป็นเครื่องมือสร้างแบบฟอร์มบน WordPress ยอดนิยม ที่มียอดดาวน์โหลดมากกว่า 600,000 ครั้ง ซึ่งช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มได้โดยไม่ต้องเขียนโค้ด โดยการใช้ Drag-and-drop interface ขณะที่ File Upload extension ซึ่งรวมอยู่ในชุดเครื่องมือเดียวกันนั้นมีผู้ใช้งานอยู่กว่า 90,000 ราย

ช่องโหว่ CVE-2026-0740 มีระดับความรุนแรง Critical ถึง 9.8 จาก 10 คะแนน โดยส่งผลกระทบต่อ Ninja Forms File Upload เวอร์ชันสูงสุดถึง 3.3.26

นักวิจัยจาก Wordfence ระบุว่า ช่องโหว่นี้เกิดจากการขาดการตรวจสอบประเภทไฟล์/นามสกุลของชื่อไฟล์ ทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดไฟล์ใด ๆ ก็ได้ รวมถึงสคริปต์ PHP และยังสามารถปรับแต่งชื่อไฟล์เพื่อทำ Path Traversal ได้อีกด้วย

Wordfence อธิบายเพิ่มเติมว่า “ในเวอร์ชันที่มีช่องโหว่ ฟังก์ชันดังกล่าวไม่มีการตรวจสอบประเภทไฟล์ก่อนที่จะดำเนินกระบวนการ move ไฟล์”

“หมายความว่า ไม่เพียงแต่ไฟล์ที่ปลอดภัยเท่านั้นที่สามารถอัปโหลดได้ แต่ยังสามารถอัปโหลดไฟล์ที่มีนามสกุล .php ได้อีกด้วย”

“เนื่องจากไม่มีการตรวจสอบความปลอดภัยของชื่อไฟล์ จึงทำให้มีพารามิเตอร์ที่เป็นอันตราย ซึ่งอาจทำให้เกิดการทำ Path Traversal ซึ่งช่วยให้สามารถย้ายไฟล์แปลกปลอมเข้าไปยัง directory หลักของ Webroot ได้โดยตรง

“ทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถอัปโหลดโค้ด PHP ที่เป็นอันตรายได้ตามที่ต้องการ จากนั้นเข้าถึงไฟล์เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ได้”

ผลกระทบที่อาจเกิดขึ้นจากการโจมตีนั้นร้ายแรงมาก รวมถึงการติดตั้ง web shells และยึดครองเว็บไซต์ทั้งหมดโดยสมบูรณ์

การตรวจพบ และการแก้ไข

ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Sélim Lanouar (whattheslime) ซึ่งได้ส่งรายงานผ่านโปรแกรม Bug Bounty ของ Wordfence เมื่อวันที่ 8 มกราคม 2026

หลังจากผ่านขั้นตอนการตรวจสอบแล้ว Wordfence ได้เปิดเผยรายละเอียดทั้งหมดให้แก่ผู้พัฒนาในวันเดียวกัน พร้อมทั้งดำเนินการส่งมาตรการลดผลกระทบชั่วคราวผ่าน Rules ของ Firewall ไปยังกลุ่มลูกค้าของตนทันที

ภายหลังการตรวจสอบแพตช์ และการแก้ไขเบื้องต้นเมื่อวันที่ 10 กุมภาพันธ์ 2026 ทางผู้พัฒนาได้ออกเวอร์ชันแก้ไขที่สมบูรณ์ในเวอร์ชัน 3.3.27 ซึ่งเปิดให้ใช้งานมาตั้งแต่วันที่ 19 มีนาคม 2026

เนื่องจาก Wordfence ตรวจพบความพยายามในการโจมตีนับพันครั้งต่อวัน ผู้ใช้ Ninja Forms File Upload จึงควรรีบอัปเกรดให้เป็นเวอร์ชันล่าสุด

 

ที่มา : bleepingcomputer.

แฮ็กเกอร์กำลังใช้ช่องโหว่ที่มีระดับความรุนแรงสูงสุด หมายเลข CVE-2025-59528 ในแพลตฟอร์ม Open-source (more…)

กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับประเทศอิหร่านกำลังมุ่งเป้าโจมตีอุปกรณ์ Programmable Logic Controllers (PLCs) ยี่ห้อ Rockwell/Allen-Bradley ที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งใช้งานอยู่ในเครือข่ายขององค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (more…)

กลุ่มแฮ็กเกอร์กำลังดำเนินการโจมตีครั้งใหญ่เพื่อขโมยข้อมูล credential ด้วยวิธีการอัตโนมัติ หลังจากประสบความสำเร็จในการใช้ช่องโหว่ React2Shell (CVE-2025-55182) ในแอปพลิเคชัน Next.

Apple ได้เปิดให้ iPhone ที่ยังสามารถใช้ iOS 18 สามารถรับการอัปเดตด้านความปลอดภัยเพิ่มเติมได้แล้ว เพื่อช่วยป้องกันอุปกรณ์จากภัยคุกคามที่เกิดจากชุดเจาะระบบ DarkSword ซึ่งกำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่องในขณะนี้ (more…)

Fortinet ได้ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินในช่วงสุดสัปดาห์ สำหรับช่องโหว่ระดับ Critical ใหม่บน FortiClient Enterprise Management Server (EMS) ที่กำลังถูกนำไปใช้ในการโจมตีอยู่ในขณะนี้ (more…)

แฮ็กเกอร์ได้มุ่งเป้าโจมตีเซิร์ฟเวอร์ TrueConf conference โดยใช้ช่องโหว่ Zero-day ซึ่งทำให้สามารถสั่งรันไฟล์ใด ๆ ก็ได้บนอุปกรณ์ endpoints ทั้งหมดที่เชื่อมต่ออยู่ (more…)

การโจมตีแบบ Device Code Phishing เป็นการใช้ช่องโหว่จากกระบวนการ OAuth 2.0 Device Authorization Grant เพื่อขโมยบัญชีผู้ใช้งาน โดยมีอัตราการตรวจพบเพิ่มสูงขึ้นมากกว่า 37 เท่าในปีนี้ (more…)

Google ได้ปล่อยอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day อีกหนึ่งรายการบน Chrome ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งนับเป็นช่องโหว่ความปลอดภัยรายการที่สี่ที่ได้รับการแก้ไขตั้งแต่เริ่มต้นปีนี้เป็นต้นมา

Google ระบุในประกาศด้านความปลอดภัยที่ออกเมื่อวันอังคารว่า "Google รับทราบว่ามีช่องโหว่ CVE-2026-5281 ที่กำลังถูกนำไปใช้ในการโจมตี" (more…)

Cisco ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ หลังจากผู้โจมตีใช้ข้อมูล credentials ที่ขโมยมาจากเหตุการณ์การโจมตีแบบ Supply Chain Attack ของ Trivy เมื่อเร็ว ๆ นี้ เพื่อบุกรุกเข้าสู่ระบบการพัฒนาภายใน และขโมย Source Code ของบริษัทรวมถึงของลูกค้าไป

แหล่งข่าวที่ไม่ประสงค์ออกนามเปิดเผยกับ BleepingComputer ว่า ทีม Unified Intelligence Center, CSIRT และ EOC ของ Cisco สามารถควบคุมเหตุการณ์การบุกรุกที่เกี่ยวข้องกับ "GitHub Action plugin" ที่เป็นอันตราย ซึ่งได้รับผลกระทบมาจากการถูกโจมตีของ Trivy ได้แล้ว (more…)