ช่องโหว่ wp2shell ใน WordPress Core ทำให้ผู้ไม่มีการตรวจสอบรันโค้ดทันที

ที่มาภาพ: The Hacker News

Security-อ่าน 5 นาทีThe Hacker News

ช่องโหว่ wp2shell ใน WordPress Core ทำให้ผู้ไม่มีการตรวจสอบรันโค้ดทันที

⚡ สรุป 30 วิ

wp2shell เป็นช่องโหว่ระดับ core ของ WordPress 6.9 และ 7.0 ที่ทำให้ผู้โจมตีส่ง HTTP request โดยไม่ต้องยืนยันตัวตนและรันโค้ดได้ทันที การอัปเดตเวอร์ชัน 6.9.5…

WordPress เวอร์ชัน 6.9 และ 7.0 ถูกค้นพบช่องโหว่ระดับคอร์ที่ทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP request ธรรมดาแล้วรันโค้ดบนเซิร์ฟเวอร์ได้ ทั้งนี้จุดบกพร่องยังคงอยู่ในการติดตั้งพื้นฐานโดยไม่มีปลั๊กอินใด ๆ ทำให้จำนวนเว็บไซต์ที่อาจถูกโจมตีสูงมาก ตามรายงานของ Assetnote ในเครือข่าย Searchlight Cyber การแก้ไขได้ถูกเผยแพร่พร้อมอัปเดตบังคับผ่านระบบอัตโนมัติของ WordPress เมื่อวันศุกร์ที่ผ่านมา

Overview

ช่องโหว่ที่ได้รับการตั้งชื่อว่า wp2shell ถูกจัดอยู่ในระดับคอร์ของ WordPress ซึ่งหมายความว่ามันมีผลต่อการติดตั้งทุกชุดโดยไม่ต้องพึ่งพาปลั๊กอินหรือธีมใด ๆ ผู้โจมตีเพียงส่ง HTTP request ที่ไม่ได้ระบุรายละเอียด (anonymous) ไปยังเซิร์ฟเวอร์เป้าหมาย ระบบจะประมวลผลคำสั่งที่ฝังอยู่ใน request นั้นและทำการรันโค้ดบนเครื่องโดยตรง การใช้ช่องนี้ไม่ต้องมีสิทธิ์ผู้ดูแลหรือข้อมูลล็อกอินใด ๆ ทำให้ความเสี่ยงต่อการถูกแฮ็กสูงกว่าที่เคยคาดการณ์

Technical Details

ตามที่ทีมวิจัยระบุ ช่องโหว่นี้เกิดจากขั้นตอนการตรวจสอบและจัดการคำขอ HTTP ภายในฟังก์ชันของ WordPress Core ที่ไม่ได้ทำการกรองหรือตรวจสอบอย่างเพียงพอ ทำให้ผู้โจมตีสามารถแทรกสคริปต์ที่เป็นอันตรายลงในพารามิเตอร์บางส่วนได้ แม้ว่าโค้ดจะถูกส่งมาในรูปแบบธรรมดา ระบบก็ยังดำเนินการโดยไม่ตั้งข้อสงสัย การทำงานของ wp2shell นั้นคล้ายกับการเปิด “backdoor” ที่ให้ผู้โจมตีเข้าถึงระบบไฟล์และฐานข้อมูลของเว็บไซต์ได้ทันที

Discovery and Reporting

บั๊กนี้ถูกค้นพบโดย Adam Kues ซึ่งทำงานอยู่ในส่วนของการจัดการพื้นผิวโจมตี (attack surface management) ของ Assetnote ทีมวิจัยได้ทำการตรวจสอบความรุนแรงและผลกระทบต่อเวอร์ชันที่ใช้งานอยู่ จากนั้นส่งรายงานให้กับทีมพัฒนา WordPress เพื่อดำเนินการแก้ไขโดยเร็ว การแจ้งเตือนครั้งแรกได้รับการตอบรับอย่างรวดเร็วจากผู้ดูแลโครงการ และได้เริ่มวางแผนปล่อยอัปเดตเพื่อปิดช่องนี้ในเวลาที่สั้นที่สุด

Patch Release

WordPress ได้ออกแพช์สองเวอร์ชันสำคัญ ได้แก่ 6.9.5 และ 7.0.2 ซึ่งทั้งสองเวอร์ชันได้เปิดใช้งานระบบอัพเดตบังคับ (forced updates) ผ่านกลไก auto-update system ของ WordPress เพื่อให้การแก้ไขกระจายไปยังเว็บไซต์ที่ไม่ได้ตั้งค่าการอัปเดตอัตโนมัติไว้เอง รายละเอียดของแพช์สรุปได้ดังนี้

  • ปิดช่องโหว่ในการตรวจสอบ request ที่ไม่ผ่านการกรอง
  • เพิ่มขั้นตอนตรวจสอบความปลอดภัยในฟังก์ชันสำคัญของคอร์
  • เปิดใช้งาน forced updates เพื่อให้ทุกเว็บไซต์ที่รันเวอร์ชัน 6.9 หรือ 7.0 ได้รับอัปเดตโดยอัตโนมัติ

Impact on WordPress Ecosystem

ด้วยการเป็นโครงสร้างพื้นฐานของเว็บหลายแสนแห่งทั่วโลก การมีช่องโหว่ระดับคอร์เช่นนี้ทำให้ความเสี่ยงต่อเว็บไซต์ธุรกิจ, บล็อกส่วนบุคคล และระบบจัดการเนื้อหา (CMS) ทั้งหมดเพิ่มสูงขึ้น แม้ว่า WordPress จะเป็นแพลตฟอร์มที่ได้รับการอัปเดตบ่อยครั้ง แต่กรณีนี้แสดงให้เห็นว่าการพึ่งพาเวอร์ชัน “bare‑install” โดยไม่มีปลั๊กอินไม่ได้ทำให้ระบบปลอดภัยยิ่งกว่า การกระจาย forced updates จึงเป็นแนวทางสำคัญในการลดระยะเวลาที่ช่องโหว่เปิดอยู่

Analysis

จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย ช่องโหว่นี้เป็นตัวอย่างที่ชัดเจนของการ “zero‑day” ที่อาจถูกใช้โดยกลุ่มแฮ็กเกอร์เพื่อทำฟิชชิงหรือขโมยข้อมูลสำคัญ การไม่มีขั้นตอนกรองข้อมูลในระดับคอร์บ่งชี้ว่าการตรวจสอบความปลอดภัยต้องครอบคลุมทั้งส่วนที่ผู้พัฒนาและส่วนของ community plugin ด้วย นอกจากนี้ forced updates ที่ WordPress เริ่มนำมาใช้เป็นการเปลี่ยนแปลงเชิงกลยุทธ์เพื่อให้มั่นใจว่าเว็บไซต์ส่วนใหญ่จะได้รับการอัปเดตทันที แม้จะทำให้บางผู้ดูแลระบบต้องปรับกระบวนการจัดการเวอร์ชันใหม่ก็ตาม

Summary

ช่องโหว่ wp2shell ในคอร์ของ WordPress ทำให้แฮ็กเกอร์ที่ไม่มีสิทธิ์เข้าถึงสามารถรันโค้ดบนเว็บไซต์ได้ทันที การอัปเดต 6.9.5 และ 7.0.2 พร้อม forced updates เป็นวิธีการแก้ไขหลักที่ WordPress ใช้เพื่อปิดช่องนี้และลดความเสี่ยงต่อผู้ใช้งานทั่วโลก.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
18 กรกฎาคม 2569 เวลา 04:20

Related

บทความที่เกี่ยวข้อง

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่นSecurity
18 กรกฎาคม 2569 เวลา 09:00

การโจมตีไซเบอร์ทำให้ระบบโลจิสติกของ Nichirei Group ขัดขวาง ส่งผลต่อ KFC ญี่ปุ่น

Nichirei Group ยอมรับว่าระบบคอมพิวเตอร์ถูกแฮ็กโดย ransomware ทำให้การจัดส่งอาหารแช่แข็งและโลจิสติกหยุดชะงัก. KFC…

The Register7 นาที
รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัยSecurity
18 กรกฎาคม 2569 เวลา 07:30

รัฐบาลออสเตรเลียสั่งทิ้งเราเตอร์ 4,000 เครื่อง แม้ผู้เชี่ยวชาญเตือนความเสี่ยงด้านความปลอดภัย

ACCC บล็อกเราเตอร์ SamKnows SK‑WB8 จำนวนประมาณ 4,000 เครื่องจากโครงการ MBA โดยอ้างว่าเครื่องหมดอายุ แม้ว่ายังทำงานได้…

TechRadar6 นาที
สหราชอาณาจักรกำหนดเวลาใช้โซเชียลมีเดียสำหรับวัยรุ่น 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น.Security
17 กรกฎาคม 2569 เวลา 21:00

สหราชอาณาจักรกำหนดเวลาใช้โซเชียลมีเดียสำหรับวัยรุ่น 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น.

รัฐบาลอังกฤษกำหนดเวลาจำกัดการใช้โซเชียลมีเดียสำหรับวัยรุ่นอายุ 16‑17 ปี ตั้งแต่เที่ยงคืนถึง 06:00 น. มาตรการนี้เป็นส่วนหนึ่งของ Online Safety Act…

Mashable Tech5 นาที
ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆSecurity
16 กรกฎาคม 2569 เวลา 13:00

ShinyHunters ใช้ OAuth เชื่อม Microsoft Maps ขโมยข้อมูล Salesforce อย่างเงียบ ๆ

ShinyHunters แทรกซึม Salesforce ผ่าน OAuth ของ Microsoft Maps ทำให้ข้อมูลลูกค้าและตำแหน่งถูกขโมยอย่างเงียบ ๆ โดยไม่ใช้ช่องโหว่ของระบบ.

The Hacker News6 นาที
คัดลอกลิงก์แล้ว!