ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ Privilege Escalation ระดับ Critical (CVE-2025–8489) ใน King Addons for Elementor plugin สำหรับ WordPress ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบได้ในระหว่างขั้นตอนการลงทะเบียน

การโจมตีเริ่มขึ้นตั้งแต่วันที่ 31 ตุลาคม ซึ่งเป็นเวลาเพียงหนึ่งวันหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ ล่าสุด Wordfence ผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ WordPress รายงานว่าได้บล็อกความพยายามในการโจมตีไปแล้วกว่า 48,400 ครั้ง

King Addons เป็นปลั๊กอินเสริมจาก third-party สำหรับใช้งานร่วมกับ Elementor ซึ่งเป็นปลั๊กอินสร้างหน้าเว็บไซต์แบบภาพยอดนิยมสำหรับเว็บไซต์ WordPress ปัจจุบัน King Addons ถูกใช้งานบนเว็บไซต์ประมาณ 10,000 แห่ง โดยทำหน้าที่เพิ่ม widgets templates และฟีเจอร์เสริมต่าง ๆ

CVE-2025–8489 นี้ถูกพบโดยนักวิจัย Peter Thaleikis โดยเป็นช่องโหว่ registration handler ของ plugin ซึ่งทำให้ผู้ที่ลงทะเบียนสามารถระบุ role ผู้ใช้บนเว็บไซต์ รวมถึง role ผู้ดูแลระบบได้ โดยที่ระบบไม่มีการตรวจสอบ หรือจำกัดสิทธิ์ใด ๆ

จากการตรวจสอบของ Wordfence พบว่าผู้โจมตีใช้วิธีส่ง Crafted Request ไปยังไฟล์ admin-ajax.

พบช่องโหว่ระดับ Critical ในปลั๊กอิน W3 Total Cache (W3TC) บน WordPress ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวเพื่อเรียกใช้คำสั่ง PHP บนเซิร์ฟเวอร์ได้ เพียงแค่ทำการโพสต์ Comment ที่มี Malicious payload แอบแฝงอยู่

(more…)

ผู้โจมตีกำลังมุ่งเป้าโจมตีช่องโหว่ระดับ Critical ใน JobMonster WordPress theme ซึ่งทำให้สามารถยึดบัญชีผู้ดูแลระบบได้ภายใต้เงื่อนไขบางประการ

(more…)

ปลั๊กอิน Anti-Malware Security และ Brute-Force Firewall ของ WordPress ที่มีผู้ติดตั้งกว่า 100,000 เว็บไซต์ มีช่องโหว่ที่ทำให้สมาชิก (subscribers) สามารถอ่านไฟล์ใดบนเซิร์ฟเวอร์ได้ตามต้องการ ซึ่งอาจทำให้ข้อมูลส่วนตัวรั่วไหลได้

(more…)

 

แคมเปญการโจมตีเป็นวงกว้างที่กำลังมุ่งเป้าไปยังเว็บไซต์ WordPress ที่ใช้ปลั๊กอิน GutenKit และ Hunk Companion เวอร์ชันเก่า เนื่องจากมีช่องโหว่ด้านความปลอดภัยระดับ critical ที่อาจถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้ (more…)

Pi-hole เป็นระบบบล็อกโฆษณาระดับเครือข่ายที่ได้รับความนิยม ได้เปิดเผยว่าชื่อ และอีเมลของผู้ร่วม donate ถูกเปิดเผยออกมา เนื่องจากช่องโหว่ด้านความปลอดภัยในปลั๊กอิน GiveWP ของ WordPress ที่ใช้สำหรับรับ donation

(more…)

 

มีเว็บไซต์ WordPress มากกว่า 200,000 แห่ง ที่กำลังใช้งาน Plugin Post SMTP ในเวอร์ชันที่มีช่องโหว่ ที่อาจทำให้แฮ็กเกอร์สามารถเข้าควบคุมบัญชีผู้ดูแลระบบได้ (more…)

ช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อปลั๊กอิน OttoKit (เดิมชื่อ SureTriggers) ของ WordPress กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง (more…)

แคมเปญมัลแวร์ที่ชื่อว่า 'DollyWay' ซึ่งได้ดำเนินการมาตั้งแต่ปี 2016 โดยได้โจมตีเว็บไซต์ที่ใช้ WordPress กว่า 20,000 แห่งทั่วโลก เพื่อนำผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย (more…)

RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้

แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา

นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป

RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง

ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)

Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย

หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้โจมตีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน

เมื่อผู้โจมตีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ

ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)

ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่

ผลลัพธ์คือ หากผู้โจมตีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง

เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที

การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน

เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

 

ที่มา : bleepingcomputer.