កំហុសសុវត្ថិភាពធ្វើឱ្យគេហទំព័រ WordPress ចំនួន 4 លានមានហានិភ័យ

ដោយសរសេរនៅលើប្លក់របស់ខ្លួន ក្រុមស៊ើបការណ៍ការគំរាមកំហែងរបស់ Wordfence បាននិយាយថា ខ្លួនបានបង្ហាញនូវភាពងាយរងគ្រោះនៃគេហទំព័រស្គ្រីប (XSS) ប្រកបដោយការទទួលខុសត្រូវនៅក្នុងកម្មវិធីជំនួយ LiteSpeed Cache ដែលជាកម្មវិធីបន្ថែមដ៏ពេញនិយមដែលត្រូវបានដំឡើងនៅលើគេហទំព័រ WordPress ជាង 4 លាន។ ភាពងាយរងគ្រោះបានអនុញ្ញាតឱ្យពួក Hacker ដែលមានសិទ្ធិចូលរួមវិភាគទាន បញ្ចូលស្គ្រីបព្យាបាទដោយប្រើ shortcodes ។

LiteSpeed Cache គឺជាកម្មវិធីជំនួយដែលបង្កើនល្បឿនគេហទំព័រ WordPress ជាមួយនឹងឃ្លាំងសម្ងាត់ និងការបង្កើនប្រសិទ្ធភាពកម្រិតម៉ាស៊ីនមេ។ កម្មវិធីជំនួយនេះផ្តល់នូវ shortcode ដែលអាចប្រើដើម្បីលាក់ប្លុកដោយប្រើបច្ចេកវិទ្យា Edge Side នៅពេលបន្ថែមទៅ WordPress ។

ទោះយ៉ាងណាក៏ដោយ Wordfence បាននិយាយថា ការអនុវត្តកម្មវិធីជំនួយនៃ shortcode គឺមិនមានសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យបញ្ចូលអក្សរតាមអំពើចិត្តទៅក្នុងទំព័រទាំងនេះ។ ការពិនិត្យមើលកូដដែលងាយរងគ្រោះបានបង្ហាញថា វិធីសាស្ត្រ shortcode មិនបានត្រួតពិនិត្យការបញ្ចូល និងលទ្ធផលឱ្យបានគ្រប់គ្រាន់នោះទេ។ នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើការវាយប្រហារ XSS ។ នៅពេលបញ្ចូលទៅក្នុងទំព័រ ឬប្រកាស ស្គ្រីបនឹងប្រតិបត្តិរាល់ពេលដែលអ្នកប្រើប្រាស់ចូលមើលវា។

ខណៈពេលដែលភាពងាយរងគ្រោះតម្រូវឱ្យគណនីអ្នករួមចំណែកដែលត្រូវបានសម្របសម្រួល ឬអ្នកប្រើប្រាស់ដើម្បីចុះឈ្មោះជាអ្នករួមចំណែកនោះ Wordfence និយាយថា អ្នកវាយប្រហារអាចលួចព័ត៌មានរសើប រៀបចំខ្លឹមសារគេហទំព័រ អ្នកគ្រប់គ្រងវាយប្រហារ កែសម្រួលឯកសារ ឬបញ្ជូនអ្នកទស្សនាទៅកាន់គេហទំព័រដែលមានគំនិតអាក្រក់។

Wordfence បាននិយាយថា វាបានទាក់ទងក្រុមអភិវឌ្ឍន៍ LiteSpeed Cache នៅថ្ងៃទី 14 ខែសីហា។ បំណះនេះត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅថ្ងៃទី 16 ខែសីហា ហើយបានចេញផ្សាយទៅកាន់ WordPress នៅថ្ងៃទី 10 ខែតុលា។ ឥឡូវនេះ អ្នកប្រើប្រាស់ត្រូវអាប់ដេត LiteSpeed Cache ទៅកំណែ 5.7 ដើម្បីជួសជុលកំហុសសុវត្ថិភាពនេះឱ្យបានពេញលេញ។ ទោះបីជាមានគ្រោះថ្នាក់ក៏ដោយ មុខងារការពារស្គ្រីបឆ្លងគេហទំព័រដែលភ្ជាប់មកជាមួយនៃជញ្ជាំងភ្លើង Wordfence បានជួយការពារការកេងប្រវ័ញ្ចនេះ។