ด่วน! แฮกเกอร์แห่เจาะปลั๊กอิน WP Maps Pro ยึดสิทธิ์ Admin เว็บ WordPress—รีบอัปเดตด่วน
ล่าสดมีการตรวจพบช่องโหว่ความปลอดภัยระดับวิกฤตบนปลั๊กอินยอดนิยมอย่าง WP Maps Pro (ปลั๊กอินสำหรับในแผนก Google Maps หรือ OpenStreetMap บนเว็บที่มียอดขายกว่า 15,000 ครั้ง บน Envato Market) ซึ่งตอนนี้เจ้าหน้าที่แฮกเกอร์กำลังเปิดฉากโจมตีอย่างหนักเพื่อแอบสร้างบัญชีผู้ดูแลระบบ (Admin) แล้วยึดเว็บไปเป็นของตัวเองครับ
เจาะลึกช่องโหว่ CVE-2026-8732
ช่องโหว่นี้มีรหัสว่า CVE-2026-8732 ได้คะแนนความรุนแรงสูงลิ่วถึง 9.8 เต็ม 10 (Privilege Escalation) ซึ่งความน่ากลัวของมันคือเปิดโอกาสให้ใครก็ได้จากภายนอกที่ไม่มีสิทธิ์ (Unauthenticated) สามารถทริกเกอร์ระบบให้สร้าง User ระดับ Admin ขึ้นมาใหม่ และเข้าควบคุมเว็บไซต์ได้อย่างเบ็ดเสร็จ
ต้นเหตุมาจากระบบ "Temporary Access"
คุณ David Brown นักวิจัยความปลอดภัยผู้ค้นพบช่องโหว่นี้ระบุว่าปัญหามันมาจากฟีเจอร์ "สิทธิ์เข้าถึงชั่วคราว" ที่ผู้พัฒนาทำไว้เพื่อให้ทีม Support สามารถล็อกอินเข้าไปช่วยแก้ปัญหาให้ลูกค้าได้
แต่แทนที่จะล็อกระบบไว้ให้ปลอดภัย ทาง Wordfence ได้อธิบายว่าตัวโค้ดดันไปเปิดฟังก์ชัน wpgmp_temp_access_ajax แบบสาธารณะ โดยมีแค่การเช็คค่า Nonce (รหัสความปลอดภัยชั่วคราว) ชื่อ fc_call-nonce ที่ใครๆ ก็มองเห็นได้
พอเป็นแบบนี้ แฮกเกอร์เลยสามารถยิงคำสั่งส่งค่า check_temp=false เข้าไปหลอกระบบ ตัวปลั๊กอินก็เลยสั่งสร้าง User ใหม่ที่มีสถานะเป็น Administrator ให้ทันที พร้อมส่งลิงก์ล็อกอินวิเศษ (Magic Login URL) กลับมาให้แฮกเกอร์กดคลิกเข้าไปยึดเว็บได้สบายใจเฉิบ
สถานการณ์ตอนนี้ โดนโจมตีจริงแล้ว
นี้ไม่ใช้แค่เรื่องทฤษฎีนะครับ เพราะทาง Wordfence รายงานว่า ในรอบ 24 ชั่วโมงที่ผ่านมา พวกเขาบล็อกการโจมตีที่พยายามเจาะผ่านช่องโหว่นี้ไปแล้วถึง 2,858 ครั้ง แปลว่าแฮกเกอร์กำลังกวาดล้างสแกนหาเว็บที่ยังไม่ได้อัปเดตอย่างเอาเป็นเอาตาย
วิธีแก้ไขและป้องกัน
- เวอร์ชันที่มีปัญหา: ทุกเวอร์ชันที่ต่ำกว่าหรือเท่ากับ 6.1.0
- เวอร์ชันที่ปลอดภัย: ผู้พัฒนาได้ออกอัปเดตเวอร์ชัน 6.1.1 ออกมาอุดรอยรั่วนี้แล้วเมื่อวันที่ 20 พฤษภาคม 2026 ที่ผ่านมา โดยจำกัดสิทธิ์ให้เฉพาะ Admin ตัวจริงเท่านั้นที่เข้าถึงฟังก์ชันนี้ได้
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก
