
ที่มาภาพ: The Hacker News
ช่องโหว่ wp2shell ใน WordPress Core ทำให้ผู้ไม่มีการตรวจสอบรันโค้ดทันที
⚡ สรุป 30 วิ
wp2shell เป็นช่องโหว่ระดับ core ของ WordPress 6.9 และ 7.0 ที่ทำให้ผู้โจมตีส่ง HTTP request โดยไม่ต้องยืนยันตัวตนและรันโค้ดได้ทันที การอัปเดตเวอร์ชัน 6.9.5…
WordPress เวอร์ชัน 6.9 และ 7.0 ถูกค้นพบช่องโหว่ระดับคอร์ที่ทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP request ธรรมดาแล้วรันโค้ดบนเซิร์ฟเวอร์ได้ ทั้งนี้จุดบกพร่องยังคงอยู่ในการติดตั้งพื้นฐานโดยไม่มีปลั๊กอินใด ๆ ทำให้จำนวนเว็บไซต์ที่อาจถูกโจมตีสูงมาก ตามรายงานของ Assetnote ในเครือข่าย Searchlight Cyber การแก้ไขได้ถูกเผยแพร่พร้อมอัปเดตบังคับผ่านระบบอัตโนมัติของ WordPress เมื่อวันศุกร์ที่ผ่านมา
Overview
ช่องโหว่ที่ได้รับการตั้งชื่อว่า wp2shell ถูกจัดอยู่ในระดับคอร์ของ WordPress ซึ่งหมายความว่ามันมีผลต่อการติดตั้งทุกชุดโดยไม่ต้องพึ่งพาปลั๊กอินหรือธีมใด ๆ ผู้โจมตีเพียงส่ง HTTP request ที่ไม่ได้ระบุรายละเอียด (anonymous) ไปยังเซิร์ฟเวอร์เป้าหมาย ระบบจะประมวลผลคำสั่งที่ฝังอยู่ใน request นั้นและทำการรันโค้ดบนเครื่องโดยตรง การใช้ช่องนี้ไม่ต้องมีสิทธิ์ผู้ดูแลหรือข้อมูลล็อกอินใด ๆ ทำให้ความเสี่ยงต่อการถูกแฮ็กสูงกว่าที่เคยคาดการณ์
Technical Details
ตามที่ทีมวิจัยระบุ ช่องโหว่นี้เกิดจากขั้นตอนการตรวจสอบและจัดการคำขอ HTTP ภายในฟังก์ชันของ WordPress Core ที่ไม่ได้ทำการกรองหรือตรวจสอบอย่างเพียงพอ ทำให้ผู้โจมตีสามารถแทรกสคริปต์ที่เป็นอันตรายลงในพารามิเตอร์บางส่วนได้ แม้ว่าโค้ดจะถูกส่งมาในรูปแบบธรรมดา ระบบก็ยังดำเนินการโดยไม่ตั้งข้อสงสัย การทำงานของ wp2shell นั้นคล้ายกับการเปิด “backdoor” ที่ให้ผู้โจมตีเข้าถึงระบบไฟล์และฐานข้อมูลของเว็บไซต์ได้ทันที
Discovery and Reporting
บั๊กนี้ถูกค้นพบโดย Adam Kues ซึ่งทำงานอยู่ในส่วนของการจัดการพื้นผิวโจมตี (attack surface management) ของ Assetnote ทีมวิจัยได้ทำการตรวจสอบความรุนแรงและผลกระทบต่อเวอร์ชันที่ใช้งานอยู่ จากนั้นส่งรายงานให้กับทีมพัฒนา WordPress เพื่อดำเนินการแก้ไขโดยเร็ว การแจ้งเตือนครั้งแรกได้รับการตอบรับอย่างรวดเร็วจากผู้ดูแลโครงการ และได้เริ่มวางแผนปล่อยอัปเดตเพื่อปิดช่องนี้ในเวลาที่สั้นที่สุด
Patch Release
WordPress ได้ออกแพช์สองเวอร์ชันสำคัญ ได้แก่ 6.9.5 และ 7.0.2 ซึ่งทั้งสองเวอร์ชันได้เปิดใช้งานระบบอัพเดตบังคับ (forced updates) ผ่านกลไก auto-update system ของ WordPress เพื่อให้การแก้ไขกระจายไปยังเว็บไซต์ที่ไม่ได้ตั้งค่าการอัปเดตอัตโนมัติไว้เอง รายละเอียดของแพช์สรุปได้ดังนี้
- ปิดช่องโหว่ในการตรวจสอบ request ที่ไม่ผ่านการกรอง
- เพิ่มขั้นตอนตรวจสอบความปลอดภัยในฟังก์ชันสำคัญของคอร์
- เปิดใช้งาน forced updates เพื่อให้ทุกเว็บไซต์ที่รันเวอร์ชัน 6.9 หรือ 7.0 ได้รับอัปเดตโดยอัตโนมัติ
Impact on WordPress Ecosystem
ด้วยการเป็นโครงสร้างพื้นฐานของเว็บหลายแสนแห่งทั่วโลก การมีช่องโหว่ระดับคอร์เช่นนี้ทำให้ความเสี่ยงต่อเว็บไซต์ธุรกิจ, บล็อกส่วนบุคคล และระบบจัดการเนื้อหา (CMS) ทั้งหมดเพิ่มสูงขึ้น แม้ว่า WordPress จะเป็นแพลตฟอร์มที่ได้รับการอัปเดตบ่อยครั้ง แต่กรณีนี้แสดงให้เห็นว่าการพึ่งพาเวอร์ชัน “bare‑install” โดยไม่มีปลั๊กอินไม่ได้ทำให้ระบบปลอดภัยยิ่งกว่า การกระจาย forced updates จึงเป็นแนวทางสำคัญในการลดระยะเวลาที่ช่องโหว่เปิดอยู่
Analysis
จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย ช่องโหว่นี้เป็นตัวอย่างที่ชัดเจนของการ “zero‑day” ที่อาจถูกใช้โดยกลุ่มแฮ็กเกอร์เพื่อทำฟิชชิงหรือขโมยข้อมูลสำคัญ การไม่มีขั้นตอนกรองข้อมูลในระดับคอร์บ่งชี้ว่าการตรวจสอบความปลอดภัยต้องครอบคลุมทั้งส่วนที่ผู้พัฒนาและส่วนของ community plugin ด้วย นอกจากนี้ forced updates ที่ WordPress เริ่มนำมาใช้เป็นการเปลี่ยนแปลงเชิงกลยุทธ์เพื่อให้มั่นใจว่าเว็บไซต์ส่วนใหญ่จะได้รับการอัปเดตทันที แม้จะทำให้บางผู้ดูแลระบบต้องปรับกระบวนการจัดการเวอร์ชันใหม่ก็ตาม
Summary
ช่องโหว่ wp2shell ในคอร์ของ WordPress ทำให้แฮ็กเกอร์ที่ไม่มีสิทธิ์เข้าถึงสามารถรันโค้ดบนเว็บไซต์ได้ทันที การอัปเดต 6.9.5 และ 7.0.2 พร้อม forced updates เป็นวิธีการแก้ไขหลักที่ WordPress ใช้เพื่อปิดช่องนี้และลดความเสี่ยงต่อผู้ใช้งานทั่วโลก.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 18 กรกฎาคม 2569 เวลา 04:20



