พบช่องโหว่ในปลั๊กอิน Facebook for WordPress 2 รายการ ที่ติดตั้งบนเว็บไซต์ WordPress กว่า 5 แสนเว็บ ที่จะทำให้แฮกเกอร์ที่ไม่ได้ผ่านการตรวจสอบสิทธิ์เข้าถึง key ของเว็บไซต์ได้

ช่องโหว่แรก จะอยู่ในฟังก์ชัน run_action() ที่ใช้แยกข้อมูลผู้ใช้จาก event_data ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เพื่ออัปโหลดไฟล์ที่เป็นอันตรายลงไปในเว็บไซต์ได้ โดยช่องโหว่นี้มีระดับความรุนแรงอยู่ที่ 9.0 (ร้ายแรง) และมีผลกับปลั๊กอินเวอร์ชัน 2.2.2 หรือต่ำกว่า

ช่องโหว่ที่สอง จะอยู่ในฟังก์ชัน wp_ajax_save_fbe_settings ที่เชื่อมกับ saveFbeSettings ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เพื่อเข้ามาขโมยข้อมูลในเว็บไซต์ เพิ่ม JavaScript ที่เป็นอันตรายลงไป รวมไปถึงการเพิ่ม backdoors ลงไปในไฟล์ธีมหรือบัญชี admin เพื่อเตรียมยึดเว็บ โดยช่องโหว่นี้มีระดับความรุนแรงอยู่ที่ 8.8 (สูง) และมีผลกับปลั๊กอินเวอร์ชัน 3.0.0 – 3.0.3

เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน Facebook for WordPress เป็นเวอร์ชัน 3.0.5 หรือเวอร์ชันล่าสุด

ที่มา : Wordfence