มีการพบช่องโหว่ 3 รายการในปลั๊กอิน Simple 301 Redirects by BetterLinks ที่มีเว็บไซต์ใช้งานอยู่กว่า 3 แสนเว็บ ซึ่งอาจทำให้ถูกเปลี่ยนเส้นทางของเว็บไซต์หรือติดตั้งปลั๊กอินที่เป็นอันตรายลงไปได้

ช่องโหว่แรก จะอยู่ในฟังก์ชัน import_data และ export_data ที่ไม่ได้มีการตรวจสอบ nonce ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เพื่อเปลี่ยนเส้นทางการเข้าถึงเว็บไซต์ไปยังเว็บไซต์ที่เป็นอันตรายแทน โดยช่องโหว่นี้จะมีระดับความรุนแรงอยู่ที่ 9.9 (ร้ายแรง) และมีผลกับเวอร์ชัน 2.0.3 หรือต่ำกว่า

ช่องโหว่ที่สอง จะอยู่ในฟังก์ชัน install_plugin ที่ไม่ได้มีการตรวจสอบความถูกต้อง ซึ่งแฮกเกอร์สามารถอาศัยช่องโหว่นี้เข้าไปติดตั้งและเปิดใช้งานปลั๊กอินที่มีช่องโหว่ร้ายแรงตัวอื่นๆ เพื่อเพิ่มสิทธิ์ต่างๆ ให้กับแฮกเกอร์ โดยช่องโหว่นี้จะมีระดับความรุนแรงอยู่ที่ 7.4 (สูง) และมีผลกับเวอร์ชัน 2.0.3 หรือต่ำกว่า

ช่องโหว่ที่สาม จะอยู่ในฟังก์ชัน get_wildcard และ wildcard ที่ไม่ได้มีการตรวจสอบความถูกต้อง โดยช่องโหว่นี้จะมีระดับความรุนแรงอยู่ที่ 4.3 (ปานกลาง) และมีผลกับเวอร์ชัน 2.0.3 หรือต่ำกว่า

เพื่อความปลอดภัยแนะนำให้อัปเดตปลั๊กอิน Simple 301 Redirects by BetterLinks เป็นเวอร์ชัน 2.0.4 หรือเวอร์ชันล่าสุด

ที่มา : Wordfence