พบช่องโหว่ 2 รายการในปลั๊กอิน Store Locator Plus ที่มีเว็บไซต์ใช้งานกว่า 9 พันเว็บ ซึ่งทั้ง 2 ช่องโหว่มีความเสี่ยงที่อาจทำให้ถูกแฮกเกอร์เข้ามายึดเว็บได้

ช่องโหว่แรก เป็นการเพิ่มสิทธิ์การเข้าถึงเว็บไซต์ระดับ admin ให้กับผู้ใช้ที่ได้รับการยืนยันตัวตน ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เพื่อเข้ามายึดเว็บไซต์ได้ โดยช่องโหว่นี้จะมีระดับความรุนแรงอยู่ที่ 9.9 (ร้ายแรง) และมีผลกับเวอร์ชัน 5.5.14 หรือต่ำกว่า

ช่องโหว่ที่สอง จะอยู่ใน Cross-Site Scripting (XSS) ที่ไม่ได้มีการตรวจสอบความถูกต้อง ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เพื่อเพิ่ม JavaScript ที่เป็นอันตรายลงไปในเว็บไซต์ วางแบ็คดอร์ หรือเพิ่มบัญชี admin เพื่อเข้ายึดเว็บ โดยช่องโหว่นี้จะมีระดับความรุนแรงอยู่ที่ 7.2 (สูง) และมีผลกับเวอร์ชัน 5.5.15 หรือต่ำกว่า

เพื่อความปลอดภัยแนะนำให้ปิดการใช้งานและลบปลั๊กอิน Store Locator Plus ออกไปก่อนจนกว่าทางทีมงานจะทำการแก้ไขช่องโหว่ดังกล่าวได้

ที่มา : Wordfence