ចំណុចខ្សោយដ៏សំខាន់មួយនៅលើកម្មវិធីជំនួយ WordPress ធ្វើឱ្យគេហទំព័រចំនួន 1 លានរងផលប៉ះពាល់ពីការវាយប្រហារលុបឯកសារ

ចំណុចខ្សោយសុវត្ថិភាពដ៏សំខាន់មួយនៅក្នុងកម្មវិធីជំនួយ WordPress របស់ Avada (Fusion) Builder ដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ បានធ្វើឲ្យគេហទំព័រជាង 1 លានកន្លែងរងការវាយប្រហារដោយការលុបឯកសារតាមអំពើចិត្ត ដែលអាចនាំឱ្យមានការលួចចូលគេហទំព័រពេញលេញ និងការប្រតិបត្តិកូដពីចម្ងាយ។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-8713 ជាមួយនឹងពិន្ទុ CVSS 9.1 ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខ "daroo" ហើយបានរាយការណ៍តាមរយៈកម្មវិធី Wordfence Bug Bounty Program។

ចំណុចខ្សោយរបស់កម្មវិធីជំនួយ WordPress របស់ Avada

បញ្ហានេះកើតចេញពីការផ្ទៀងផ្ទាត់ផ្លូវឯកសារមិនត្រឹមត្រូវនៅក្នុងតក្កវិជ្ជាលុបឯកសាររបស់កម្មវិធីជំនួយនៅក្នុងមុខងារ maybe_delete_files()។ ចំណុចខ្សោយនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់អាចលុបឯកសារតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេដោយកេងប្រវ័ញ្ចចំណុចខ្សោយនៃការឆ្លងកាត់ផ្លូវ។

អ្នកវាយប្រហារអាចរំលោភលើមុខងារបង្កើតទម្រង់របស់ Avada ជាពិសេសនៅពេលដែលទម្រង់ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីរក្សាទុកការដាក់ស្នើនៅក្នុងមូលដ្ឋានទិន្នន័យ។

ដោយការដាក់ស្នើ payload ដែលបង្កើតឡើងដែលមានលំដាប់ឆ្លងកាត់ថតឯកសារ អ្នកវាយប្រហារអាចរៀបចំផ្លូវឯកសារ និងកំណត់គោលដៅឯកសាររសើបនៅខាងក្រៅថតឯកសារផ្ទុកឡើងដែលចង់បាន។

ការវាយប្រហារនេះតម្រូវឱ្យមានទម្រង់ Avada ដែលអាចចូលប្រើបានជាសាធារណៈជាមួយនឹងការផ្ទុកមូលដ្ឋានទិន្នន័យដែលបានបើក។ អ្នកវាយប្រហារដាក់ស្នើធាតុទម្រង់បែបបទព្យាបាទដែលមានផ្លូវដូចជា៖ /wp-content/uploads/fusion-forms/../../../wp-config.php។

ដោយសារតែការត្រួតពិនិត្យសុពលភាពដែលបាត់ កម្មវិធីជំនួយដំណើរការការបញ្ចូលនេះក្នុងអំឡុងពេលសម្អាតភាពឯកជនដោយស្វ័យប្រវត្តិរបស់វា។ បន្ទាប់មកប្រព័ន្ធលុបឯកសារគោលដៅដោយប្រើមុខងារលុបឯកសារដើមរបស់ WordPress។

ជាពិសេស អ្នកវាយប្រហារអាចបង្កឱ្យមានដំណើរការសម្អាតនេះភ្លាមៗដោយការគ្រប់គ្រងប៉ារ៉ាម៉ែត្រទម្រង់ជាក់លាក់ ដែលមិនតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ ឬអន្តរកម្មរបស់អ្នកគ្រប់គ្រងឡើយ។

ការលុបឯកសារសំខាន់ៗ ដូចជា wp-config.php បង្ខំ WordPress ឱ្យចូលទៅក្នុងស្ថានភាពដំឡើង។ នេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់រចនាសម្ព័ន្ធគេហទំព័រឡើងវិញដោយប្រើមូលដ្ឋានទិន្នន័យព្យាបាទ ដែលនៅទីបំផុតនាំឱ្យមានការកាន់កាប់គេហទំព័រពេញលេញ និងការប្រតិបត្តិកូដពីចម្ងាយ។

ដោយសារប្រជាប្រិយភាពរបស់កម្មវិធីជំនួយ និងភាពងាយស្រួលដែលវាអាចត្រូវបានកេងប្រវ័ញ្ច ភាពងាយរងគ្រោះនេះបង្កហានិភ័យយ៉ាងសំខាន់ដល់គេហទំព័រដែលរងផលប៉ះពាល់។

ភាពងាយរងគ្រោះនេះត្រូវបានរាយការណ៍តាមរយៈ Wordfence នៅថ្ងៃទី 13 ខែឧសភា ឆ្នាំ 2026 ត្រូវបានផ្ទៀងផ្ទាត់ និងបង្ហាញដល់អ្នកលក់នៅថ្ងៃទី 15 ខែឧសភា និងត្រូវបានជួសជុលដោយក្រុម Avada នៅថ្ងៃទី 19 ខែឧសភា។ ការជួសជុលនេះត្រូវបានចេញផ្សាយជាផ្លូវការនៅក្នុង Avada កំណែ 3.15.4 នៅថ្ងៃទី 2 ខែមិថុនា ឆ្នាំ 2026។

អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពទៅ Avada Builder កំណែ 3.15.4 ជាបន្ទាន់។ គេហទំព័រដែលដំណើរការកំណែហួសសម័យនៅតែងាយរងគ្រោះដោយសារការកេងប្រវ័ញ្ចសកម្ម។

អ្នកប្រើប្រាស់ Wordfence ត្រូវបានការពារប្រឆាំងនឹងការវាយប្រហារនេះតាមរយៈច្បាប់ជញ្ជាំងភ្លើងដែលភ្ជាប់មកជាមួយ ដែលរកឃើញ និងរារាំងការប៉ុនប៉ងឆ្លងកាត់ផ្លូវក្នុងការដាក់ស្នើទម្រង់បែបបទ។ មូលហេតុចម្បងស្ថិតនៅក្នុងការបរាជ័យរបស់កម្មវិធីជំនួយក្នុងការអនុវត្តការត្រួតពិនិត្យការផ្ទុកថត ឬដោះស្រាយផ្លូវឯកសារដោយសុវត្ថិភាព។

ដោយមិនផ្ទៀងផ្ទាត់ផ្លូវដែលបានដោះស្រាយចុងក្រោយ ប្រព័ន្ធអនុញ្ញាតឱ្យលំដាប់ឆ្លងកាត់គេចចេញពីថតដែលចង់បាន ដែលអាចឱ្យមានការលុបឯកសារដោយបំពាន។

ករណីនេះបង្ហាញពីហានិភ័យដែលកំពុងបន្តនៃការផ្ទៀងផ្ទាត់ការបញ្ចូលមិនគ្រប់គ្រាន់នៅក្នុងមុខងារដោះស្រាយឯកសារ។ វាពង្រឹងសារៈសំខាន់នៃការអនុវត្តការសរសេរកូដដែលមានសុវត្ថិភាពក្នុងការអភិវឌ្ឍកម្មវិធីជំនួយ។