ช่องโหว่ร้ายแรงใน WPML ภัยคุกคามต่อเว็บไซต์ WordPress หลายภาษา
เว็บไซต์ Cyber Security News รายงานการค้นพบช่องโหว่ร้ายแรงใน WordPress Multilingual (WPML) ปลั๊กอินยอดนิยมสำหรับการสร้างเว็บไซต์ WordPress หลายภาษา โดยนักวิจัยด้านความปลอดภัยไซเบอร์ “Stealth Copter”
protected function render( $args, $twig_template = null ) { $defaults_slot_args = $this->get_default_slot_args( $args ); $slot_args = array_merge( $defaults_slot_args, $args ); $slot = $this->get_slot_factory()->get_slot( $slot_args ); $slot->set( ‘show’, 1 ); $slot->set( ‘template_string’, $twig_template ); if ( $slot->is_post_translations() ) { $output = $this->render->post_translations_label( $slot ); } else { $output = $this->render->render( $slot ); } return $output; }[wpml_language_switcher] {% set call_user_func = c~a~l~l~_~u~s~e~r~_~f~u~n~c %} {% set phpinfo = p~h~p~i~n~f~o %} {{ {1: phpinfo}|filter(call_user_func) }} [/wpml_language_switcher]ประเด็นสำคัญ:
- ช่องโหว่มีชื่อ CVE-2024-6386 ได้รับคะแนนความรุนแรง 9.9/10
- ส่งผลกระทบต่อ WPML เวอร์ชัน 4.6.12 และก่อนหน้า
- เปิดช่องให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลได้ (Remote Code Execution หรือ RCE)
- เกิดจากข้อผิดพลาดในการตรวจสอบข้อมูลนำเข้าใน “render() function” ของ WPML_LS_Public_API
- ทีม Wordfence ทดสอบและยืนยันว่าช่องโหว่นี้ใช้งานได้ง่าย
ข่าวดี: ทีมพัฒนา WPML ได้แก้ไขช่องโหว่นี้ในเวอร์ชัน 4.6.13 เมื่อวันที่ 20 สิงหาคม
คำแนะนำสำหรับผู้ดูแลเว็บไซต์:
- อัปเดต WPML เป็นเวอร์ชันล่าสุดทันที
- ตรวจสอบเว็บไซต์เพื่อหาโค้ดแปลกปลอมที่อาจถูกแทรก
- ลบโค้ดที่น่าสงสัยทั้งหมดเพื่อป้องกันภัยคุกคาม
เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการอัปเดตปลั๊กอินและการตรวจสอบความปลอดภัยอย่างสม่ำเสมอสำหรับเว็บไซต์ WordPress โดยเฉพาะอย่างยิ่งสำหรับเว็บไซต์เชิงธุรกิจที่ต้องรองรับหลายภาษา