ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

ออสเตรเลียเตือนแคมเปญโจมตีทั่วโลกเล็งเป้าแพลตฟอร์ม CMS ที่มีช่องโหว่ — ฝัง Webshell ยึดเว็บไซต์ธุรกิจ

ACSC warns of global campaign deploying webshells on vulnerable CMS platforms and plugins
ศูนย์ความมั่นคงไซเบอร์ออสเตรเลีย (ACSC) ออกประกาศเตือนแคมเปญโจมตีระดับโลกที่มุ่งเป้าระบบจัดการเนื้อหา (CMS) และปลั๊กอินที่มีช่องโหว่ ระบุว่าธุรกิจขนาดเล็กถึงกลางในออสเตรเลียจำนวนมากถูกโจมตีแล้ว โดยผู้โจมตีสแกนหาเว็บไซต์เพื่อฝัง Webshell ที่เปิดทางเข้าถึงระบบอย่างต่อเนื่อง ขโมยข้อมูลล็อกอิน และเคลื่อนตัวลึกเข้าเครือข่าย ช่องโหว่ครอบคลุมทั้ง WordPress, Craft CMS, Joomla JCE และปลั๊กอินยอดนิยมหลายตัว ACSC ยังเตือนว่าแคมเปญนี้อาจมี AI ช่วยเร่งการโจมตี

แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ

Hackers exploit Gravity SMTP WordPress plugin bug CVE-2026-4020 to expose API keys
แฮ็กเกอร์กำลังเร่งโจมตีช่องโหว่ CVE-2026-4020 (CVSS 5.3) ในปลั๊กอิน Gravity SMTP บน WordPress ที่ติดตั้งราว 100,000 เว็บ ช่องโหว่ระดับกลางประเภท information disclosure เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนดึง System Report กว่า 365 KB รวมถึง API key ของ Amazon SES, Google, Mailjet, Resend, Zoho ผ่าน REST API endpoint ที่ permission_callback คืนค่า true เสมอ Wordfence บล็อกความพยายามโจมตีไปแล้วกว่า 17 ล้านครั้ง แพตช์อยู่ในเวอร์ชัน 2.1.5

ตำรวจสากล Operation Endgame ทลาย SocGholish botnet ทำความสะอาด WordPress เกือบ 15,000 เว็บไซต์ที่ถูกฝังมัลแวร์ของกลุ่ม Evil Corp

Operation Endgame dismantles SocGholish botnet linked to Evil Corp
หน่วยงานบังคับใช้กฎหมายจากเนเธอร์แลนด์ แคนาดา สหรัฐฯ และเยอรมนี ร่วมมือในปฏิบัติการ Operation Endgame ทำความสะอาดมัลแวร์ SocGholish จากเว็บไซต์ WordPress เกือบ 15,000 แห่ง และปิด server กับ domain กว่า 100 รายการที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์รัสเซีย Evil Corp มัลแวร์ SocGholish หลอกผู้เยี่ยมชมเว็บไซต์ให้ดาวน์โหลด payload อันตรายโดยปลอมเป็นอัปเดตเบราว์เซอร์ เคยถูกใช้แพร่กระจาย Dridex, DoppelPaymer และมัลแวร์อื่นอีกหลายตระกูล

CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง

WordPress Everest Forms Pro CVE-2026-3300 RCE exploit
ช่องโหว่ CVE-2026-3300 (CVSS 9.8) ใน Everest Forms Pro plugin สำหรับ WordPress ซึ่งมีผู้ติดตั้งกว่า 4,000 ราย ถูกโจมตีจริงตั้งแต่วันที่ 13 เมษายน 2569 รวมกว่า 29,300 ครั้ง ช่องโหว่เกิดจากฟังก์ชัน process_filter() ที่นำค่าจากผู้ใช้ไปรันใน eval() โดยไม่กรองอักขระพิเศษ แฮ็กเกอร์สามารถสร้างบัญชี admin ปลอมและฝัง web shell ได้ ผู้ดูแลเว็บไซต์ WordPress ที่ใช้ plugin นี้ควรอัปเดตเป็นเวอร์ชัน 1.9.13 โดยด่วน

CVE-2026-8206 — ช่องโหว่ปลั๊กอิน WordPress Kirki เปิดทางยึดบัญชีแอดมิน กระทบเว็บกว่า 500,000 แห่ง CVSS 9.8

WordPress Kirki plugin vulnerability exposes 500000 websites to privilege escalation attacks
ช่องโหว่ระดับวิกฤตในปลั๊กอิน Kirki ของ WordPress (CVE-2026-8206 CVSS 9.8) เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนยึดบัญชีแอดมินได้ กระทบเว็บกว่า 500,000 แห่ง และยังเสี่ยงอยู่ราว 150,000 แห่ง ช่องโหว่อยู่ในฟังก์ชัน handle_forgot_password() ที่รับทั้ง username และ email โดยไม่ตรวจความสัมพันธ์ ทำให้ผู้โจมตีส่งคำขอรีเซ็ตรหัสด้วย username ของแอดมินแต่ใช้อีเมลของตัวเอง รับ reset token แล้วตั้งรหัสใหม่ยึดบัญชี กระทบเวอร์ชัน 6.0.0–6.0.6 แก้แล้วใน 6.0.7

Funnel Builder ปลั๊กอิน WordPress ถูกโจมตีจริง — แฮ็กเกอร์ฝัง Skimmer ขโมยบัตรเครดิตจากร้านค้า WooCommerce กว่า 40,000 แห่ง

Funnel Builder WooCommerce checkout skimming attack
ช่องโหว่ร้ายแรงในปลั๊กอิน Funnel Builder สำหรับ WordPress ถูกโจมตีจริงแล้ว ผู้โจมตีฝังสคริปต์ปลอมที่เลียนแบบ Google Tag Manager เข้าไปในหน้า checkout ของร้านค้า WooCommerce เพื่อขโมยข้อมูลบัตรเครดิต ปลั๊กอินนี้ถูกใช้ในร้านค้าออนไลน์กว่า 40,000 แห่ง ช่องโหว่ไม่ต้องยืนยันตัวตน แพตช์แก้ไขแล้วในเวอร์ชัน 3.15.0.3

Avada Builder ปลั๊กอิน WordPress มีช่องโหว่ 2 ตัว — ขโมย Credentials จากเว็บไซต์กว่า 1 ล้านแห่งได้

Avada Builder WordPress Plugin Vulnerabilities
ปลั๊กอิน Avada Builder สำหรับ WordPress ที่ใช้งานกว่า 1 ล้านเว็บไซต์ พบช่องโหว่ 2 ตัว CVE-2026-4782 อ่านไฟล์ระบบได้โดยไม่ต้อง login และ CVE-2026-4798 (CVSS 7.5) ทำ SQL Injection ดึง password hashes จากฐานข้อมูลได้ ผู้โจมตีไม่จำเป็นต้องยืนยันตัวตน แพตช์แก้ไขอยู่ในเวอร์ชัน 3.15.3