ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ด้านสาธารณสุขหรือ HealthCERT ออกประกาศแจ้งเตือนช่องโหว่ร้ายแรงในปลั๊กอิน Forminator บน WordPress
ทาง HealthCERT ชี้ว่าช่องโหว่นี้กระทบต่อเว็บไซต์ที่ใช้ WordPress เป็นฐานมากกว่า 500,000 เว็บไซต์
ช่องโหว่ที่ว่านี้ เริ่มจากช่องโหว่ระดับร้ายแรงในรหัส CVE-2024-28890 ที่อนุญาตให้ผู้โจมตีจากระยะไกล (remote attacker) ใช้ช่องโหว่บนปลั๊กอินนี้อัปโหลดมัลแวร์เข้าไปในเว็บไซต์ และทำให้กลายเป็นช่องทางของการโจมตีด้วยวิธีการ Denial of Service (DoS) หรือการกระหน่ำการจราจรทางอินเทอร์เน็ต (Traffic) ไปยังเว็บไซต์จนล่มได้
โดยจะมีผลกับ Forminator เวอร์ชัน 1.29.0 หรือเก่ากว่านั้น
ช่องโหว่อันต่อมาคือ CVE-2024-31077 ซึ่งเปิดโอกาสให้เกิดการโจมตีแบบ SQL Injection ที่จะช่วยให้ผู้โจมตีที่มีสิทธิของแอดมินสามารถค้นหา SQL บนฐานข้อมูลภายในเว็บไซต์อย่างอิสระได้ โดยช่องโหว่ตัวนี้จะมีผลกับ Forminator เวอร์ชัน 1.29.3 ลงไป
ช่องโหว่สุดท้ายคือ CVE-2024-31857 เป็นช่องโหว่แบบ Cross-site scripting (XSS) ที่ทำให้ผู้โจมตีระยะไหลเรียกใช้ HTML และสคริปต์ในเบราว์เซอร์ของเหยื่อที่เผลอกดเข้าไปในลิงก์ของผู้โจมตี (มีผลกับ Forminator 1.15.4 ลงไป)
HealthCERT แนะนำให้แอดมินที่ใช้ Forminaor อัปเดตให้เป็นเวอร์ชันล่าสุดโดยทันที
สำหรับปลั๊กอิน Forminator ให้ความสามารถกับแอดมินเว็บไซต์ WordPress ในการสร้างฟอร์มได้หลากหลายรูปแบบ ตั้งแต่กรอกข้อมูลทั่วไป แบบสอบถาม โพลล์ ไปจนถึงฟอร์มสัญญา และการชำระเงินผ่านช่องทางต่าง ๆ
