เริ่มชิน ! ช่องโหว่ปลั๊กอิน PayU บนเว็บไซต์ Wordpress ทำเว็บไซต์กว่า 5000 แห่ง อยู่ใต้ความเสี่ยงในการถูกยึด

WordPress อาจจะเป็นเครื่องมือในการสร้างเว็บไซต์ยอดนิยม มีความยืดหยุ่น และเครื่องมือสนับสนุนสูง แต่ก็มักจะตกเป็นข่าวด้านความปลอดภัยอยู่เสมอเช่นกัน

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบช่องโหว่บนปลั๊กอิน PayU CommercePro ซึ่งเป็นปลั๊กอินสำหรับใช้จัดการขั้นตอนการ Check Out สินค้า สำหรับเว็บไซต์ eCommerce โดยช่องโหว่นี้ถูกตรวจพบโดยทีมวิจัยจาก PatchStack บริษัทนักพัฒนาเครื่องมือป้องกันภัยไซเบอร์บนเว็บไซต์ WordPress

ช่องโหว่ดังกล่าวนั้นมีรหัสว่า CVE-2025-31022 เป็นช่องโหว่ที่เกิดขึ้นบนปลั๊กอิน PayU CommercePro เวอร์ชัน 3.8.5 โดยเป็นปัญหาในส่วนตรรกะ (Logic) ภายใน API Route (/payu/v1/get-shipping-cost) ซึ่งรายละเอียดของช่องโหว่นั้น ตัวช่องโหว่เกิดจากการจัดการฟังก์ชันอย่างไม่ปลอดภัย (Unsafe Handling) บนฟังก์ชัน update_cart_data() ซึ่งเป็นฟังก์ชันสำหรับการจัดการคำสั่งซื้อ, สถานที่จัดส่ง, รหัสตัวตนผู้ใช้งาน (User ID) และจัดการในส่วนของ Session ข้อมูลโดยที่ไม่ต้องยืนยันตัวตนผู้ใช้งานก่อน (ซึ่งเป็นวิธีที่ไม่ปลอดภัย)

และในส่วนของ API Call นั้น ก็มีการตรวจสอบ Token แค่จากอีเมลที่ถูกตั้งเป็นค่าคงที่ (Hard-Coded) ไว้แล้ว นั่นคือ commerce.pro@payu.in ส่งผลให้แฮกเกอร์สามารถสร้าง Token ที่ถูกต้อง ใช้งานได้ ด้วยการใช้ตัว Endpoint (/payu/v1/generate-user-token) ทำให้แฮกเกอร์สามารถส่ง Request เพื่อเข้าควบคุมบัญชีใช้งานที่ต้องการได้

ขั้นตอนการโจมตีนั้นโดยคร่าว ๆ จะเป็นไปตามนี้

• แฮกเกอร์สร้าง Auth Token จากอีเมลที่ถูก Hard-Coded ไว้
• ใช้คำสั่ง Call ไปยัง Shipping Cost API โดยเล็งเป้าไปยังอีเมลของบัญชีผู้ใช้งานที่ต้องการเข้าควบคุม
• การส่งคำสั่งดังกล่าวจะนำไปสู่การเปิดช่องโหว่บนฟังก์ชัน update_cart_data()
• แฮกเกอร์สามารถเข้าครอบครองและใช้งานบัญชีเป้าหมายได้สำเร็จ

นอกจากนั้น ทางทีมวิจัยยังระบุอีกว่า ปลั๊กอินดังกล่าวยังทำการลบบัญชี Guest ที่ถูกสร้างขึ้นชั่วคราวเพื่อปฏิบัติการโจมตีดังกล่าวเองอีกด้วย ทำให้การตรวจสอบโดยทีมตรวจสอบทำได้ยากมากขึ้นไปอีก และในขณะนี้ ทางทีมวิจัยยังได้รายงานว่า หลังจากที่ทางทีมวิจัยได้ตรวจพบช่องโหว่ดังกล่าว ทางทีมก็ได้ทำการรายงานกลับไปยังทีมที่พัฒนาปลั๊กอินตัวดังกล่าวในทันที แต่ว่าหลังจากผ่านไป 30 วันซึ่งเป็นเส้นตายที่ทางทีมพัฒนาควรออกอัปเดตมาเพื่อปิดกั้นช่องโหว่ดังกล่าว กลับไม่มีการปล่อยอัปเดตใด ๆ มาแต่อย่างไร ดังนั้น ทางทีมวิจัยจึงได้แนะนำให้ผู้ที่ใช้งานอยู่ทำการลบปลั๊กอินดังกล่าวในทันที เพื่อความปลอดภัยของตัวเว็บไซต์

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv