แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่พึ่งจะได้รับการแก้ไขไปแล้วเมื่อเร็ว ๆ นี้ ในปลั๊กอิน Advanced Custom Fields ของ WordPress เพียงแค่ประมาณ 24 ชั่วโมงหลังจากที่มีการเผยแพร่ PoC ออกสู่สาธารณะ

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-30777 ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) ที่มีระดับความรุนแรงสูง ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลที่มีความสำคัญ และเพิ่มสิทธิ์ในเว็บไซต์ WordPress ที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบโดย Patchstack บริษัทรักษาความปลอดภัยของเว็บไซต์เมื่อวันที่ 2 พฤษภาคม 2023 และมีการเผยแพร่ PoC ออกมาในวันที่ 5 พฤษภาคม 2023 หนึ่งวันหลังจากนั้น ผู้ให้บริการปลั๊กอินดังกล่าวได้มีการอัปเดตแพตซ์ด้านความปลอดภัยด้วยเวอร์ชัน 6.1.6

รายงานจาก Akamai Security Intelligence Group (SIG) พบว่า ตั้งแต่วันที่ 6 พฤษภาคม 2023 Akamai สังเกตเห็นพฤติกรรมการสแกน และการใช้ประโยชน์จากช่องโหว่โดยใช้โค้ดตัวอย่างที่ให้ไว้ในบทความของ Patchstack

Akamai SIG วิเคราะห์ข้อมูลการโจมตีแบบ XSS และระบุได้ว่าพบการโจมตีที่เริ่มต้นภายใน 24 ชั่วโมงหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ

สิ่งที่น่าสนใจคือ Query ที่ผู้โจมตีใช้ เป็นการคัดลอก และใช้ Code ตัวอย่างที่ Patchstack เป็นคนเขียน

มีการตรวจสอบพบว่ากว่า 1.4 ล้านเว็บไซต์ที่ใช้ปลั๊กอิน WordPress ที่ได้รับผลกระทบ ยังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุดตามสถิติของ wordpress.