- ข้อผิดพลาดปลั๊กอิน W3 Total Cache CVE-2025-9501 อนุญาตให้ฉีดคำสั่ง PHP ที่ไม่ได้รับอนุญาต
- ใช้กับทุกเวอร์ชันก่อน 2.8.13; ไซต์มากกว่า 327,000 แห่งยังคงตกอยู่ในความเสี่ยง
- การใช้ประโยชน์จาก WPScan PoC ที่กำหนดไว้ในวันที่ 24 พฤศจิกายน ทำให้เกิดความกังวลเรื่องการแสวงหาผลประโยชน์ในวงกว้าง
W3 Total Cache (W3TC) ซึ่งเป็นปลั๊กอิน WordPress ที่ใช้งานโดยผู้ใช้กว่าล้านคน มีช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งอาจทำให้อาชญากรไซเบอร์เข้ายึดครองเว็บไซต์ที่ติดไวรัสได้อย่างเต็มที่ ผู้เชี่ยวชาญเตือน
ข้อบกพร่องนี้ได้รับการอธิบายว่าเป็นช่องโหว่การแทรกคำสั่งที่ทำงานโดยการส่งความคิดเห็นที่มีเพย์โหลดที่เป็นอันตรายไปยังโพสต์ ผู้โจมตีไม่จำเป็นต้องได้รับการรับรองความถูกต้องจากเว็บไซต์เพื่อแทรกคำสั่ง PHP ด้วยวิธีนี้
ปัจจุบันช่องโหว่นี้ได้รับการติดตามเป็น CVE-2025-9501 และมีระดับความรุนแรง 9.0/10 (ระดับวิกฤต) ซึ่งส่งผลต่อเวอร์ชันปลั๊กอินทั้งหมดก่อน 2.8.13
หมดเขตวันที่ 24 พฤศจิกายน
หากต้องการแก้ไขช่องโหว่ ผู้ใช้ควรอัปเดตปลั๊กอินเป็นเวอร์ชัน 2.8.13 ซึ่งเปิดตัวเมื่อวันที่ 20 ตุลาคม
เมื่อดูข้อมูลจาก WordPress.org พบว่า 67.3% ของหน้าเว็บได้รับการอัปเดตเป็นเวอร์ชัน 2.8 โดยที่เหลือ 32.7% เป็นเวอร์ชันเก่า ซึ่งจะทำให้เว็บไซต์อย่างน้อย 327,000 แห่งตกอยู่ในความเสี่ยง
อย่างไรก็ตาม นี่ไม่ได้หมายความว่า 67.3% ทั้งหมดใช้เวอร์ชัน 2.8.13 ดังนั้นจำนวนไซต์ที่มีช่องโหว่จริงจึงน่าจะสูงกว่านี้มาก
ในที่ปรึกษาด้านความปลอดภัย นักวิจัยจาก WPScan ซึ่งเป็นเครื่องสแกนความปลอดภัยที่สร้างขึ้นโดยเฉพาะสำหรับผู้สร้างเว็บไซต์ WordPress กล่าวว่าพวกเขาได้พัฒนาช่องโหว่ Proof-of-Concept (PoC) สำหรับช่องโหว่และกำหนดเส้นตายในวันที่ 24 พฤศจิกายนสำหรับการเปิดตัว ก่อนหน้านี้พวกเขาคาดหวังว่าเว็บไซต์ส่วนใหญ่จะอัปเดตปลั๊กอินเป็นเวอร์ชันที่ปลอดภัย
ในหลายกรณี การแสวงประโยชน์จำนวนมากเริ่มต้นทันทีที่มีการเปิดตัว PoC เนื่องจากอาชญากรไซเบอร์จำนวนมากไม่สนใจที่จะพัฒนาเครื่องมือดังกล่าวด้วยตนเอง และจะตรวจจับทุกสิ่งที่มีอยู่แล้วเท่านั้น ดังนั้นจึงเป็นเรื่องสำคัญที่เจ้าของเว็บไซต์ WordPress และผู้ดูแลระบบจะต้องอัปเดตก่อนถึงกำหนดเวลา
โดย คอมพิวเตอร์แวววาว
แอนตี้ไวรัสที่ดีที่สุดสำหรับทุกงบประมาณ
ติดตาม TechRadar บน Google News และ เพิ่มเราเป็นแหล่งที่คุณต้องการ เพื่อรับข่าวสารจากผู้เชี่ยวชาญ บทวิจารณ์ และความคิดเห็นเกี่ยวกับช่องของคุณ อย่าลืมคลิกปุ่มติดตาม!
และแน่นอน คุณก็ทำได้เช่นกัน ติดตาม TechRadar บน TikTok เพื่อรับข่าวสาร รีวิว วิดีโอแกะกล่อง และรับข่าวสารอัปเดตจากเราเป็นประจำ วอทส์แอพพ์ ด้วย.