พบช่องโหว่ในปลั๊กอิน WP Page Builder ที่มีการติดตั้งบนเว็บไซต์ WordPress กว่า 1 หมื่นเว็บ ที่จะทำให้แฮกเกอร์เข้าไปแก้ไข page editor เปลี่ยน post กลับไปเป็นค่าเริ่มต้น ไปจนถึงการเพิ่ม JavaScript ที่เป็นอันตรายลงไปเพื่อทำการยึดเว็บ

ช่องโหว่แรก จะอยู่ในฟังก์ชันการบล็อคบทบาทในการแก้ไข post และ page ที่ในค่าเริ่มต้นไม่ได้มีการบล็อคบทบาทใดๆ ไว้ ทำให้แฮกเกอร์สามารถเข้าถึงการแก้ไข post และ page ในเว็บไซต์ที่ใช้ WP Page Builder เพื่อสร้างหรือเผยแพร่ post และ page ได้ง่ายๆ โดยช่องโหว่นี้มีระดับความรุนแรงอยู่ที่ 7.4 (สูง) และมีผลกับเวอร์ชัน 1.2.4 หรือต่ำกว่า

ช่องโหว่ที่สอง จะเป็นช่องโหว่แบบ Cross-Site Scripting (XSS) ที่จะทำให้แฮกเกอร์สามารถเพิ่ม JavaScript ที่เป็นอันตราย หรือ backdoor ลงไป ที่อาจทำให้ถูกยึดเว็บได้

เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน WP Page Builder เป็นเวอร์ชัน 1.2.5 หรือเวอร์ชันล่าสุด

ที่มา : Wordfence