WordPress เสี่ยงถูกยึด! ช่องโหว่ร้ายแรงในปลั๊กอิน AI Engine เปิดทางแฮกเกอร์เข้าควบคุมเว็บไซต์
วันนี้มีเรื่องเล่าที่เจ้าของเว็บไซต์ WordPress ต้องฟังให้ดี เพราะนักวิจัยจาก Wordfence ได้เปิดเผยช่องโหว่ระดับ “วิกฤต” ในปลั๊กอินยอดนิยม AI Engine ซึ่งมีผู้ใช้งานกว่า 100,000 เว็บไซต์ทั่วโลก ช่องโหว่นี้มีรหัส CVE-2025-11749 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะเปิดช่องให้ผู้ไม่หวังดีเข้ายึดเว็บไซต์ได้โดยไม่ต้องล็อกอิน!
ปลั๊กอิน AI Engine ถูกออกแบบมาเพื่อเชื่อมต่อกับโมเดลภาษาอย่าง ChatGPT และ Claude โดยใช้ระบบ MCP (Model Context Protocol) ที่สามารถให้ AI ทำงานระดับผู้ดูแลระบบ เช่น แก้ไขเนื้อหา จัดการผู้ใช้ หรืออัปโหลดไฟล์
แต่ปัญหาอยู่ที่ฟีเจอร์ “No-Auth URL” ซึ่งเมื่อเปิดใช้งาน (แม้จะปิดไว้โดยค่าเริ่มต้น) จะทำให้ token สำหรับยืนยันตัวตนถูกเปิดเผยผ่าน REST API สาธารณะ โดยไม่มีการป้องกัน ทำให้แฮกเกอร์สามารถดึง token ไปใช้สั่งคำสั่งระดับผู้ดูแล เช่น wp_update_user เพื่อเปลี่ยนสิทธิ์ของตัวเองเป็นแอดมิน และเข้าควบคุมเว็บไซต์ได้ทันที
ช่องโหว่นี้เกิดจากการตั้งค่าผิดพลาดในฟังก์ชัน rest_api_init() ที่ไม่ได้ปิดการแสดง endpoint ใน index ของ REST API ส่งผลให้ token ถูกเผยแพร่โดยไม่ตั้งใจ
สาระเพิ่มเติมจากภายนอก
REST API เป็นช่องทางที่ WordPress ใช้ในการสื่อสารระหว่างระบบ ซึ่งหากตั้งค่าไม่ดีอาจเปิดช่องให้ถูกโจมตีได้ง่าย
การใช้ bearer token โดยไม่มีการเข้ารหัสหรือจำกัดสิทธิ์ เป็นความเสี่ยงที่พบได้บ่อยในระบบ API
การโจมตีแบบนี้จัดอยู่ในกลุ่ม “Privilege Escalation” ซึ่งเป็นหนึ่งในเทคนิคยอดนิยมของแฮกเกอร์ในการยึดระบบ
รายละเอียดช่องโหว่ CVE-2025-11749
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการเปิดเผย bearer token ผ่าน REST API
ส่งผลให้ผู้ไม่หวังดีสามารถสั่งคำสั่งระดับแอดมินได้ทันที
กระทบทุกเวอร์ชันก่อน 3.1.4
การทำงานของปลั๊กอิน AI Engine
เชื่อมต่อกับโมเดล AI เช่น ChatGPT และ Claude
ใช้ MCP ในการสั่งงานระดับผู้ดูแลระบบ
มีฟีเจอร์ “No-Auth URL” ที่เปิดช่องโหว่เมื่อเปิดใช้งาน
การแก้ไขและคำแนะนำ
อัปเดตปลั๊กอินเป็นเวอร์ชัน 3.1.4 ทันที
ปิดการใช้งาน “No-Auth URL” หากไม่จำเป็น
ตรวจสอบว่า endpoint ไม่ถูกแสดงใน REST API index
ใช้ระบบตรวจสอบสิทธิ์ที่ปลอดภัยมากขึ้น
คำเตือนสำหรับผู้ดูแลเว็บไซต์ WordPress
หากเปิดใช้งาน “No-Auth URL” โดยไม่รู้ตัว เว็บไซต์อาจถูกยึดได้ทันที
อย่าปล่อยให้ token ถูกเปิดเผยใน API โดยไม่มีการป้องกัน
ควรตรวจสอบการตั้งค่า REST API ทุกครั้งหลังติดตั้งปลั๊กอินใหม่
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่ธรรมดา แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาเปลี่ยนสิทธิ์ตัวเองเป็นแอดมิน และควบคุมเว็บไซต์ของคุณได้ในพริบตา… ถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายด้วยชื่อเสียงและข้อมูลของลูกค้าทั้งหมด.
https://securityonline.info/critical-cve-2025-11749-flaw-in-ai-engine-plugin-exposes-wordpress-sites-to-full-compromise/
วันนี้มีเรื่องเล่าที่เจ้าของเว็บไซต์ WordPress ต้องฟังให้ดี เพราะนักวิจัยจาก Wordfence ได้เปิดเผยช่องโหว่ระดับ “วิกฤต” ในปลั๊กอินยอดนิยม AI Engine ซึ่งมีผู้ใช้งานกว่า 100,000 เว็บไซต์ทั่วโลก ช่องโหว่นี้มีรหัส CVE-2025-11749 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะเปิดช่องให้ผู้ไม่หวังดีเข้ายึดเว็บไซต์ได้โดยไม่ต้องล็อกอิน!
ปลั๊กอิน AI Engine ถูกออกแบบมาเพื่อเชื่อมต่อกับโมเดลภาษาอย่าง ChatGPT และ Claude โดยใช้ระบบ MCP (Model Context Protocol) ที่สามารถให้ AI ทำงานระดับผู้ดูแลระบบ เช่น แก้ไขเนื้อหา จัดการผู้ใช้ หรืออัปโหลดไฟล์
แต่ปัญหาอยู่ที่ฟีเจอร์ “No-Auth URL” ซึ่งเมื่อเปิดใช้งาน (แม้จะปิดไว้โดยค่าเริ่มต้น) จะทำให้ token สำหรับยืนยันตัวตนถูกเปิดเผยผ่าน REST API สาธารณะ โดยไม่มีการป้องกัน ทำให้แฮกเกอร์สามารถดึง token ไปใช้สั่งคำสั่งระดับผู้ดูแล เช่น wp_update_user เพื่อเปลี่ยนสิทธิ์ของตัวเองเป็นแอดมิน และเข้าควบคุมเว็บไซต์ได้ทันที
ช่องโหว่นี้เกิดจากการตั้งค่าผิดพลาดในฟังก์ชัน rest_api_init() ที่ไม่ได้ปิดการแสดง endpoint ใน index ของ REST API ส่งผลให้ token ถูกเผยแพร่โดยไม่ตั้งใจ
สาระเพิ่มเติมจากภายนอก
REST API เป็นช่องทางที่ WordPress ใช้ในการสื่อสารระหว่างระบบ ซึ่งหากตั้งค่าไม่ดีอาจเปิดช่องให้ถูกโจมตีได้ง่าย
การใช้ bearer token โดยไม่มีการเข้ารหัสหรือจำกัดสิทธิ์ เป็นความเสี่ยงที่พบได้บ่อยในระบบ API
การโจมตีแบบนี้จัดอยู่ในกลุ่ม “Privilege Escalation” ซึ่งเป็นหนึ่งในเทคนิคยอดนิยมของแฮกเกอร์ในการยึดระบบ
รายละเอียดช่องโหว่ CVE-2025-11749
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการเปิดเผย bearer token ผ่าน REST API
ส่งผลให้ผู้ไม่หวังดีสามารถสั่งคำสั่งระดับแอดมินได้ทันที
กระทบทุกเวอร์ชันก่อน 3.1.4
การทำงานของปลั๊กอิน AI Engine
เชื่อมต่อกับโมเดล AI เช่น ChatGPT และ Claude
ใช้ MCP ในการสั่งงานระดับผู้ดูแลระบบ
มีฟีเจอร์ “No-Auth URL” ที่เปิดช่องโหว่เมื่อเปิดใช้งาน
การแก้ไขและคำแนะนำ
อัปเดตปลั๊กอินเป็นเวอร์ชัน 3.1.4 ทันที
ปิดการใช้งาน “No-Auth URL” หากไม่จำเป็น
ตรวจสอบว่า endpoint ไม่ถูกแสดงใน REST API index
ใช้ระบบตรวจสอบสิทธิ์ที่ปลอดภัยมากขึ้น
คำเตือนสำหรับผู้ดูแลเว็บไซต์ WordPress
หากเปิดใช้งาน “No-Auth URL” โดยไม่รู้ตัว เว็บไซต์อาจถูกยึดได้ทันที
อย่าปล่อยให้ token ถูกเปิดเผยใน API โดยไม่มีการป้องกัน
ควรตรวจสอบการตั้งค่า REST API ทุกครั้งหลังติดตั้งปลั๊กอินใหม่
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่ธรรมดา แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาเปลี่ยนสิทธิ์ตัวเองเป็นแอดมิน และควบคุมเว็บไซต์ของคุณได้ในพริบตา… ถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายด้วยชื่อเสียงและข้อมูลของลูกค้าทั้งหมด.
https://securityonline.info/critical-cve-2025-11749-flaw-in-ai-engine-plugin-exposes-wordpress-sites-to-full-compromise/
🔓 WordPress เสี่ยงถูกยึด! ช่องโหว่ร้ายแรงในปลั๊กอิน AI Engine เปิดทางแฮกเกอร์เข้าควบคุมเว็บไซต์
วันนี้มีเรื่องเล่าที่เจ้าของเว็บไซต์ WordPress ต้องฟังให้ดี เพราะนักวิจัยจาก Wordfence ได้เปิดเผยช่องโหว่ระดับ “วิกฤต” ในปลั๊กอินยอดนิยม AI Engine ซึ่งมีผู้ใช้งานกว่า 100,000 เว็บไซต์ทั่วโลก ช่องโหว่นี้มีรหัส CVE-2025-11749 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะเปิดช่องให้ผู้ไม่หวังดีเข้ายึดเว็บไซต์ได้โดยไม่ต้องล็อกอิน!
ปลั๊กอิน AI Engine ถูกออกแบบมาเพื่อเชื่อมต่อกับโมเดลภาษาอย่าง ChatGPT และ Claude โดยใช้ระบบ MCP (Model Context Protocol) ที่สามารถให้ AI ทำงานระดับผู้ดูแลระบบ เช่น แก้ไขเนื้อหา จัดการผู้ใช้ หรืออัปโหลดไฟล์
แต่ปัญหาอยู่ที่ฟีเจอร์ “No-Auth URL” ซึ่งเมื่อเปิดใช้งาน (แม้จะปิดไว้โดยค่าเริ่มต้น) จะทำให้ token สำหรับยืนยันตัวตนถูกเปิดเผยผ่าน REST API สาธารณะ โดยไม่มีการป้องกัน ทำให้แฮกเกอร์สามารถดึง token ไปใช้สั่งคำสั่งระดับผู้ดูแล เช่น wp_update_user เพื่อเปลี่ยนสิทธิ์ของตัวเองเป็นแอดมิน และเข้าควบคุมเว็บไซต์ได้ทันที
ช่องโหว่นี้เกิดจากการตั้งค่าผิดพลาดในฟังก์ชัน rest_api_init() ที่ไม่ได้ปิดการแสดง endpoint ใน index ของ REST API ส่งผลให้ token ถูกเผยแพร่โดยไม่ตั้งใจ
📚 สาระเพิ่มเติมจากภายนอก
💠 REST API เป็นช่องทางที่ WordPress ใช้ในการสื่อสารระหว่างระบบ ซึ่งหากตั้งค่าไม่ดีอาจเปิดช่องให้ถูกโจมตีได้ง่าย
💠 การใช้ bearer token โดยไม่มีการเข้ารหัสหรือจำกัดสิทธิ์ เป็นความเสี่ยงที่พบได้บ่อยในระบบ API
💠 การโจมตีแบบนี้จัดอยู่ในกลุ่ม “Privilege Escalation” ซึ่งเป็นหนึ่งในเทคนิคยอดนิยมของแฮกเกอร์ในการยึดระบบ
✅ รายละเอียดช่องโหว่ CVE-2025-11749
➡️ คะแนน CVSS 9.8 ระดับ “Critical”
➡️ เกิดจากการเปิดเผย bearer token ผ่าน REST API
➡️ ส่งผลให้ผู้ไม่หวังดีสามารถสั่งคำสั่งระดับแอดมินได้ทันที
➡️ กระทบทุกเวอร์ชันก่อน 3.1.4
✅ การทำงานของปลั๊กอิน AI Engine
➡️ เชื่อมต่อกับโมเดล AI เช่น ChatGPT และ Claude
➡️ ใช้ MCP ในการสั่งงานระดับผู้ดูแลระบบ
➡️ มีฟีเจอร์ “No-Auth URL” ที่เปิดช่องโหว่เมื่อเปิดใช้งาน
✅ การแก้ไขและคำแนะนำ
➡️ อัปเดตปลั๊กอินเป็นเวอร์ชัน 3.1.4 ทันที
➡️ ปิดการใช้งาน “No-Auth URL” หากไม่จำเป็น
➡️ ตรวจสอบว่า endpoint ไม่ถูกแสดงใน REST API index
➡️ ใช้ระบบตรวจสอบสิทธิ์ที่ปลอดภัยมากขึ้น
‼️ คำเตือนสำหรับผู้ดูแลเว็บไซต์ WordPress
⛔ หากเปิดใช้งาน “No-Auth URL” โดยไม่รู้ตัว เว็บไซต์อาจถูกยึดได้ทันที
⛔ อย่าปล่อยให้ token ถูกเปิดเผยใน API โดยไม่มีการป้องกัน
⛔ ควรตรวจสอบการตั้งค่า REST API ทุกครั้งหลังติดตั้งปลั๊กอินใหม่
⛔ อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่ธรรมดา แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาเปลี่ยนสิทธิ์ตัวเองเป็นแอดมิน และควบคุมเว็บไซต์ของคุณได้ในพริบตา… ถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายด้วยชื่อเสียงและข้อมูลของลูกค้าทั้งหมด.
https://securityonline.info/critical-cve-2025-11749-flaw-in-ai-engine-plugin-exposes-wordpress-sites-to-full-compromise/
0 Comments
0 Shares
23 Views
0 Reviews
Thai