WordPress ผู้ให้บริการ CMS ชื่อดัง แอบออกอัปเดตแพทช์เพื่ออุดช่องโหว่ Zero-day บน WordPress REST API ประกอบด้วยช่องโหว่ Content Injection และ Privilege Escalation ซึ่งช่วยให้แฮ็คเกอร์สามารถแก้ไขหรือลบ Pages และ Posts บน WordPress ได้โดยที่ผู้ใช้ไม่รู้ตัว
ช่องโหว่เหล่านี้ค้นพบโดย Sucuri บริษัทผู้ให้บริการโซลูชัน Web Security ชื่อดัง ซึ่งส่งผลกระทบบน WordPress เวอร์ชัน 4.7 และ 4.7.1 ซึ่งมีผู้ใช้มากกว่า 90,000 เว็บไซต์ทั่วโลก โดย Sucuri ได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้ดังนี้
ช่องโหว่ Privilege Escalation ที่ค้นพบส่งผลกระทบต่อ WordPress REST API ที่เพิ่งถูกใส่ลงไปใน WordPress เวอร์ชัน 4.7 โดยมาพร้อมกับ API Endpoint ซึ่งหนึ่งใน Endpoint เหล่านั้นช่วยให้ผู้ไม่ประสงค์ดีสามารถดู แก้ไข ลบ และสร้าง Post ใหม่ผ่าน API ได้ ที่เป็นปัญหาคือ REST API ถูกตั้งค่าให้เริ่มใช้งานตั้งแต่แรกบนทุกเว็บไซต์ที่ใช้ WordPress เวอร์ชัน 4.7 และ 4.7.1 ดังนั้น ทุกคนที่กำลังใช้ WordPress เหล่านี้อยู่ต่างตกอยู่ในความเสี่ยงทั้งสิ้น
“ช่องโหว่นี้ซีเรียสมาก เป็นช่องโหว่ที่สามารถนำไปใช้ในทางที่ผิดเพื่อแฮ็คเว็บไซต์ได้หลายวิธี พวกเราพยายามไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อให้แฮ็คเกอร์ทำงานได้ยากขึ้น ช่องโหว่นี้อาจนำไปสู่การโจมตีแบบ Remote Code Execution ขึ้นอยู่กับ Plug-in ที่ติดตั้งบนเว็บไซต์ นอกจากนี้ ถึงแม้ว่า Content จะถูกส่งผ่านไปยัง wp_kses ยังมีอีกหลายวิธีที่แฮ็คเกอร์สามารถแทรกโค้ด JavaScript หรือ HTML เข้าไปด้วยได้ รีบอัปเดต [แพทช์] โดยด่วน” — Sucuri ระบุใน Blog
Sucuri ร่วมกับ WordPress ออกแพทช์อัปเดตเวอร์ชัน 4.7.2 เมื่อวันที่ 26 มกราคมที่ผ่านมา ซึ่งจัดการอุดช่องโหว่ Zero-day เป็นที่เรียบร้อย หลายฝ่ายคาดเดาว่า ที่ Sucuri และ WordPress ไม่ได้ประกาศเรื่องนี้สู่สาธารณะเพราะต้องการปิดช่องโหว่นี้เป็นความลับไม่ให้แฮ็คเกอร์ล่วงรู้ ดังนั้นแนะนำให้ผู้ดูแลระบบทุกท่านรีบอัปเดตแพทช์โดยเร็ว