จัดการด่วน ช่องโหว่ระดับรุนแรงใน Fluent Form ≤5.1.16

แบรนด์ที่มีเว็บไซต์ WordPress และติดตั้งปลั๊กอินแบบฟอร์ม Fluent Form ต้องทราบถึงการค้นพบช่องโหว่ในเวอร์ชัน 5.1.16 และต่ำกว่า มารู้ผลกระทบและรีบอัปเดตโดยด่วน

C. Chinnakrit
พฤษภาคม 23, 2024

กดเพื่อดูสารบัญ

แคร์ดิจิตัลขอกระจ่ายข่าวให้แบรนด์ที่มีเว็บไซต์ WordPress และติดตั้งปลั๊กอินแบบฟอร์มตัวดัง Fluent Form ทราบว่ามีการค้นพบช่องโหว่ในเวอร์ชัน 5.1.16 และต่ำกว่า โดยช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ต้องมีสิทธิ์ในการเข้าถึงก็เจาะได้และสามารถแก้ไขการตั้งค่าของปลั๊กอิน รวมถึงใช้ประโยชน์จากข้อบกพร่องในการตรวจสอบสิทธิ์ที่จำกัด (Limited Privilege Escalation) ได้

ช่องโหว่ Fluent Form คืออะไร

จากข้อมูลบนเว็บไซต์ของ Wordfence Intelligence ช่องโหว่นี้เกิดจากการที่ปลั๊กอินขาดการตรวจสอบความสามารถ (capability check) บนปลายทาง /wp-json/fluentform/v1/managers REST API ใน endpoint ทั้งหมดสำหรับเวอร์ชันต่ำกว่า 5.1.16 ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถโดดข้ามขั้นตอนการตรวจสิทธิ์บนเว็บไซต์ของคุณแล้วสามารถเข้าถึงการตั้งค่าและฟีเจอร์ของผู้ใช้ระดับ Manager ได้ แม้ว่าพวกเขาจะเข้าถึงได้เพียงบางส่วนของปลั๊กอินก็ตาม แต่ก็ทำให้ผู้โจมตีสามารถลบบัญชีผู้ดูแลระบบได้ (บัญชี Admin นั่นเอง)

ช่องโหว่นี้ส่งผลกระทบอะไรบ้าง

สิ่งนี้ย่อมส่งผลกระทบต่อเจ้าของธุรกิจที่ใช้งานปลั๊กอิน Contact Form ของ Fluent Forms อย่างมาก ทำให้เกิดปัญหาทั้งในแง่ของการโดนเปลี่ยนแปลงข้อมูล, ฟอร์มติดต่อไม่ทำงาน, การตั้งค่าที่โดนเปลี่ยนโดยไม่ได้อนุญาต รวมถึงความเสี่ยงของข้อมูลที่อาจรั่วไหลได้ หากบัญชีผู้ดูแลระบบถูกลบก็จะทำให้ธุรกิจต้องเสียเวลาและทรัพยากรในการกู้คืนอีกด้วย ปัญหาใหญ่มากครับถ้า Admin ของเราถูกลบออกไป ทำให้การแก้ไขแทบจะเป็นไปไม่ได้เลยในระดับ Web Level

Unrecognizable hacker stopping successful attack

สิ่งที่คุณต้องแก้ไขโดยด่วน

ดังนั้นหากคุณกำลังใช้ปลั๊กอิน Fluent Forms อยู่ ให้รีบอัปเดตเป็นเวอร์ชัน 5.1.17 ขึ้นไปทันที ซึ่งผู้พัฒนาได้ออกมาแก้ไขปัญหานี้แล้ว นอกจากนี้ให้ตรวจสอบ Activity Log หรือบันทึกกิจกรรมบนเว็บไซต์ย้อนหลังด้วยว่ามีร่องรอยของการเข้าถึงที่น่าสงสัยหรือไม่ หากพบสิ่งผิดปกติ ให้รีบแจ้งผู้ดูแลระบบและปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยโดยเร็วที่สุด และอย่าลืมทบทวนการตั้งค่าของปลั๊กอินอีกครั้งหลังจากอัปเดตเรียบร้อยแล้วนะครับ

ลูกค้าของแคร์ดิจิตัลไม่ต้องกังวล

ลูกค้าที่ได้ทำเว็บไซต์กับเราไม่ต้องเป็นห่วงในจุดนี้ครับ เพราะนอกจากเราจะดูแลเว็บไซต์คุณสม่ำเสมอและคอยอัปเดตข่าวคราวช่องโหว่ต่าง ๆ อยู่เสมอ ซอฟต์แวร์ฟอร์มที่เราใช้ไม่ใช่ Fluent Form ครับ จึงไม่ต้องกังวลในส่วนนี้

กรณีนี้แสดงให้เห็นถึงความจำเป็นในการอัปเดตปลั๊กอินบน WordPress ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ แม้ว่าคุณจะมีมาตรการรักษาความปลอดภัยที่ดีแค่ไหนก็ควรต้องคอยจับตาดูช่องโหว่ที่อาจเกิดขึ้นใหม่ได้เช่นกัน การอัปเดตอย่างสม่ำเสมอจะช่วยอุดช่องโหว่ที่อาจเพิ่งถูกค้นพบโดยนักวิจัยก่อนที่จะตกเป็นเหยื่อของแฮกเกอร์นั่นเองครับ

แชร์คอนเทนต์ให้ทุกคนได้อ่าน

โพสต์อื่นที่น่าสนใจ