ทางทีมงานของ Wordfence ได้พบช่องโหว่ 2 จุดในปลั๊กอิน Post Grid ปลั๊กอิน WordPress ที่พัฒนาโดย PickPlugins และมีการติดตั้งไปแล้วกว่า 60,000 ครั้ง นอกจากนี้ระหว่างการตรวจสอบก็ได้พบว่ามีช่องโหว่แบบเดียวกันเกือบทั้งหมดอยู่ในปลั๊กอิน Team Showcase ที่พัฒนาโดย PickPlugins เช่นกัน และมีการติดตั้งไปแล้วกว่า 6,000 ครั้ง โดยช่องโหว่ที่เกิดขึ้นนั้นจะอยู่ในส่วน Stores Cross-Site Scripting (XSS) และ PHP Object Injection ซึ่ง Hacker สามารถเข้าไปวางไฟล์ JavaScript เพื่อเพิ่มสิทธิ์ระดับผู้ดูแล วาง Backdoor ลงไปในธีมหรือปลั๊กอิน ขโมยข้อมูล ไปจนถึงการยึดเว็บไซต์ของเหยื่อ

ช่องโหว่ดังกล่าวจะมีผลกับปลั๊กอิน Post Grid เวอร์ชัน 2.0.72 หรือต่ำกว่า และปลั๊กอิน Team Showcase เวอร์ชัน 1.22.15 หรือต่ำกว่า โดยจะมีระดับความรุนแรงอยู่ที่ 7.5 หรืออยู่ในระดับสูง และล่าสุดทางผู้พัฒนาปลั๊กอินได้ปล่อยอัปเดตใหม่ของปลั๊กอินทั้งสองออกมาเป็นที่เรียบร้อยแล้ว เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอินดังกล่าวให้เป็นเวอร์ชันล่าสุด

ที่มา : ThreatPost