ผู้เชี่ยวชาญด้านไซเบอร์จากบริษัท Defiant ได้เปิดเผยช่องโหว่ร้ายแรงในปลั๊กอิน Forminator ของ WordPress ซึ่งเป็นปลั๊กอินยอดนิยมสำหรับสร้างฟอร์มต่าง ๆ เช่น ฟอร์มติดต่อ การชำระเงิน และแบบสอบถาม โดยมีผู้ใช้งานมากกว่า 600,000 เว็บไซต์ทั่วโลก ซึ่งช่องโหว่นี้ได้มีหมายเลขคือ CVE-2025-6463 และได้คะแนนความรุนแรง CVSS ที่ 8.8 ซึ่งถือว่าอยู่ในระดับสูง
โดยช่องโหว่ดังกล่าวเกิดจากการที่ฟังก์ชันลบไฟล์แนบของฟอร์มไม่มีการตรวจสอบเส้นทางไฟล์อย่างเพียงพอ ส่งผลให้อาจมีการลบไฟล์สำคัญใด ๆ บนเซิร์ฟเวอร์ได้
ผู้เชี่ยวชาญอธิบายว่า กลไกการบันทึกข้อมูลจากแบบฟอร์มลงฐานข้อมูลของปลั๊กอินนี้ไม่มีการทำความสะอาดค่าที่ได้รับอย่างปลอดภัย จึงเปิดโอกาสให้แฮกเกอร์ส่งข้อมูลที่เป็นไฟล์แปลกปลอมเข้ามาในช่องที่ไม่ควรรับไฟล์ และเมื่อมีการลบแบบฟอร์ม (ทั้งโดยผู้ดูแลระบบหรือระบบอัตโนมัติ) ฟังก์ชันที่ใช้ลบไฟล์แนบจะไม่มีการตรวจสอบประเภทของฟิลด์หรือประเภทของไฟล์ ทำให้สามารถลบไฟล์ใด ๆ บนระบบได้ รวมถึงไฟล์ wp-config.php ซึ่งหากถูกลบไป เว็บไซต์จะกลับเข้าสู่โหมดตั้งค่าใหม่ ส่งผลให้ผู้ไม่ประสงค์ดีสามารถยึดครองเว็บไซต์ได้ในทันที
แม้ว่าช่องโหว่นี้จะถูกแพตช์แล้วในเวอร์ชัน 1.44.3 ซึ่งปล่อยเมื่อวันที่ 30 มิถุนายนที่ผ่านมา โดยเพิ่มการตรวจสอบเส้นทางไฟล์ให้ลบเฉพาะไฟล์ที่อัปโหลดผ่านฟิลด์ที่กำหนดไว้เท่านั้น แต่สถิติจาก WordPress แสดงให้เห็นว่าในช่วง 2 วันที่ผ่านมา มีผู้ดาวน์โหลดแพตช์นี้ไม่ถึง 200,000 ครั้ง หมายความว่ายังมีเว็บไซต์อีกกว่า 400,000 แห่งที่ยังคงมีความเสี่ยงอยู่ ทั้งนี้ โดยนักวิจัยที่ค้นพบช่องโหว่นี้ได้รับเงินรางวัลจากโครงการ Wordfence Bug Bounty Program เป็นจำนวน 8,100 ดอลลาร์สหรัฐ และผู้ใช้งานปลั๊กอิน Forminator ทุกคนควรรีบอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการถูกโจมตี
ที่มา : thaicert / วันที่เผยแพร่ 4 กรกฎาคม 2568
Link : https://www.thaicert.or.th/2025/07/04/ช่องโหว่ในปลั๊กอิน-forminator-เส/
