Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย WordPress ได้ออกเตือนว่าพบแฮ็กเกอร์กำลังใช้งานช่องโหว่ Zero-day ของปลั๊กอิน WordPress ที่ชื่อ ThemeREX Addons ซึ่งปัจจุบันยังไม่มีแพตช์แก้ไขออกมา

ThemeREX Addons เป็น Plugin จากค่าย ThemeREX ซึ่งทำธีม WordPress ขาย โดย Addons ตัวนี้จะถูกติดตั้งมาให้อยู่แล้วแก่ลูกค้า โดยทาง Wordfence ประเมินว่าน่าจะมีผู้ใช้งานอยู่ราว 44,000 ไซต์

ไอเดียคือปลั๊กอินมีการเรียกใช้งาน WordPress REST-API แต่ไม่ได้ตรวจสอบคำสั่งที่เข้ามาว่ามาจากสิทธิ์ที่สมควรหรือไม่ ซึ่งนำไปสู่ช่องโหว่ Remote Code Execution ที่คนร้ายสามารถใช้เพื่อสร้างผู้ใช้ระดับแอดมินคนใหม่ได้ อย่างไรก็ตามปัจจุบันยังไม่มีแพตช์ออกมาทาง Wordfence จึงแนะให้ผู้ใช้ ThemeREX Addons เวอร์ชัน 1.6.50 ขึ้นไปลบปลั๊กอินออกไปก่อน

ที่มา :  https://www.zdnet.com/article/hackers-exploit-zero-day-in-wordpress-plugin-to-create-rogue-admin-accounts/