เว็บไซต์กว่า 8 แสนเว็บ ยังคงได้รับผลกระทบจากช่องโหว่ปลั๊กอิน All In One SEO
จากที่มีการพบ 2 ช่องโหว่ในปลั๊กอิน All In One SEO ซึ่งได้แก่ ช่องโหว่ที่ช่วยยกระดับสิทธิ์ผู้ใช้ (Authenticated Privilege Escalation หมายเลขช่องโหว่ CVE-2021-25036) และช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถแทรก SQL ที่เป็นอันตรายได้ (Authenticated SQL Injection หมายเลขช่องโหว่ CVE-2021-25037) ซึ่งในปัจจุบันนี้ปลั๊กอินนี้ได้รับการติดตั้งไปแล้วกว่า 3 ล้านเว็บไซต์
ทั้งสองช่องโหว่นี้ส่งผลกระทบกับปลั๊กอินนี้ตั้งแต่เวอร์ชัน 4.0.0 จนถึง 4.1.5.2
ทางผู้พัฒนาปลั๊กอินได้ทำการอัปเดตออกแพตช์เพื่ออุดช่องโหว่นี้ไปแล้วเมื่อวันที่ 7 ธันวาคมที่ผ่านมา แต่อย่างไรก็ดี จากการตรวจสอบพบว่า ยังมีเว็บไซต์กว่า 820,000 เว็บ ที่ยังไม่ได้ทำการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุด ส่งผลให้ยังมีการโจมตีอยู่เรื่อยๆ
ปลั๊กอิน All In One SEO นี้ถือว่าเป็นปลั๊กอินที่นิยมใช้กัน ดูจากสถิติในช่วง 2 สัปดาห์ที่ผ่านมา ยังคงมีผู้ใช้งานดาวน์โหลดอยู่เรื่อยๆ
| วันที่ | ดาวน์โหลด |
|---|---|
| 2021-12-07 | 336,738 |
| 2021-12-08 | 1,403,672 |
| 2021-12-09 | 68,941 |
| 2021-12-10 | 45,392 |
| 2021-12-11 | 31,346 |
| 2021-12-12 | 26,677 |
| 2021-12-13 | 35,666 |
| 2021-12-14 | 34,938 |
| 2021-12-15 | 72,301 |
| 2021-12-16 | 28,672 |
| 2021-12-17 | 24,699 |
| 2021-12-18 | 18,774 |
| 2021-12-19 | 17,972 |
| 2021-12-20 | 25,388 |
| ทั้งหมด | 2,171,176 |
ดังนั้น เพื่อเป็นการป้องกัน แนะนำให้ทำการอัปเดตปลั๊กอิน All In One SEO เป็นเวอร์ชันล่าสุด คือเวอร์ชัน 4.1.5.3
ที่มา: Bleeping Computer
