ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

2 ข่าว

CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง

WordPress Everest Forms Pro CVE-2026-3300 RCE exploit
ช่องโหว่ CVE-2026-3300 (CVSS 9.8) ใน Everest Forms Pro plugin สำหรับ WordPress ซึ่งมีผู้ติดตั้งกว่า 4,000 ราย ถูกโจมตีจริงตั้งแต่วันที่ 13 เมษายน 2569 รวมกว่า 29,300 ครั้ง ช่องโหว่เกิดจากฟังก์ชัน process_filter() ที่นำค่าจากผู้ใช้ไปรันใน eval() โดยไม่กรองอักขระพิเศษ แฮ็กเกอร์สามารถสร้างบัญชี admin ปลอมและฝัง web shell ได้ ผู้ดูแลเว็บไซต์ WordPress ที่ใช้ plugin นี้ควรอัปเดตเป็นเวอร์ชัน 1.9.13 โดยด่วน

Avada Builder ปลั๊กอิน WordPress มีช่องโหว่ 2 ตัว — ขโมย Credentials จากเว็บไซต์กว่า 1 ล้านแห่งได้

Avada Builder WordPress Plugin Vulnerabilities
ปลั๊กอิน Avada Builder สำหรับ WordPress ที่ใช้งานกว่า 1 ล้านเว็บไซต์ พบช่องโหว่ 2 ตัว CVE-2026-4782 อ่านไฟล์ระบบได้โดยไม่ต้อง login และ CVE-2026-4798 (CVSS 7.5) ทำ SQL Injection ดึง password hashes จากฐานข้อมูลได้ ผู้โจมตีไม่จำเป็นต้องยืนยันตัวตน แพตช์แก้ไขอยู่ในเวอร์ชัน 3.15.3