พบช่องโหว่ในปลั๊กอิน NextGEN Gallery ที่มีเว็บไซต์ WordPress ใช้งานกว่า 8 แสนเว็บ โดยมีช่องโหว่อยู่ 2 ช่องโหว่ ในช่องโหว่แรกจะอยู่ในฟังก์ชัน is_authorized_request ที่ทำให้แฮกเกอร์เพิ่มลิงก์ที่เป็นอันตรายลงไปในเว็บของเรา ส่วนอีกช่องโหว่จะอยู่ในฟังก์ชัน validate_ajax_request ที่แฮกเกอร์จะส่งคำขอการอัปโหลดรูปที่ดูเหมือนไฟล์รูปธรรมดาทั่วไป แต่แฮกเกอร์อาจจะซ่อน webshell หรือโค้ด PHP ที่เป็นอันตรายมาด้วย โดยทั้ง 2 ช่องโหว่ได้ใช้วิธีโจมตีแบบ RCE (Remote Code Execution) และ XSS (Stored Cross-Site Scripting)

ช่องโหว่นี้จะมีผลกับปลั๊กอิน NextGEN Gallery เวอร์ชัน 3.4.7 หรือต่ำกว่า เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน NextGEN Gallery เป็นเวอร์ชัน 3.5.0 หรือเวอร์ชันล่าสุด

ที่มา : BleepingComputer, ThreatPost, Wordfence