កំហុសសុវត្ថិភាពធ្វើឱ្យគេហទំព័រ WordPress 4 លានមានហានិភ័យ

ដោយសរសេរនៅលើប្លក់របស់ខ្លួន ក្រុមស៊ើបការណ៍ការគំរាមកំហែងរបស់ Wordfence បាននិយាយថា ខ្លួនបានបង្ហាញពីភាពងាយរងគ្រោះនៃការសរសេរកូដឆ្លងគេហទំព័រ (XSS) នៅក្នុងកម្មវិធីជំនួយ LiteSpeed ​​​​Cache ដែលជាកម្មវិធីបន្ថែមដ៏ពេញនិយមដែលត្រូវបានដំឡើងនៅលើគេហទំព័រ WordPress ជាង 4 លាន។ ភាពងាយរងគ្រោះបានអនុញ្ញាតឱ្យពួក Hacker ដែលមានសិទ្ធិចូលរួមវិភាគទាន បញ្ចូលស្គ្រីបព្យាបាទដោយប្រើ shortcodes ។

LiteSpeed ​​​​Cache គឺជាកម្មវិធីជំនួយដែលបង្កើនល្បឿនគេហទំព័រ WordPress ជាមួយនឹងឃ្លាំងសម្ងាត់ និងការបង្កើនប្រសិទ្ធភាពកម្រិតម៉ាស៊ីនមេ។ កម្មវិធីជំនួយនេះផ្តល់នូវ shortcode ដែលអាចប្រើដើម្បីលាក់ប្លុកដោយប្រើបច្ចេកវិទ្យា Edge Side នៅពេលបន្ថែមទៅ WordPress ។

ទោះយ៉ាងណាក៏ដោយ Wordfence បាននិយាយថា ការអនុវត្តកម្មវិធីជំនួយនៃ shortcode គឺមិនមានសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យបញ្ចូលអក្សរតាមអំពើចិត្តទៅក្នុងទំព័រទាំងនេះ។ ការពិនិត្យមើលកូដដែលងាយរងគ្រោះបានបង្ហាញថា វិធីសាស្ត្រ shortcode មិនបានត្រួតពិនិត្យការបញ្ចូល និងលទ្ធផលឱ្យបានគ្រប់គ្រាន់នោះទេ។ នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើការវាយប្រហារ XSS ។ នៅពេលបញ្ចូលទៅក្នុងទំព័រ ឬប្រកាស ស្គ្រីបនឹងប្រតិបត្តិរាល់ពេលដែលអ្នកប្រើប្រាស់ចូលមើលវា។

ខណៈពេលដែលភាពងាយរងគ្រោះតម្រូវឱ្យគណនីអ្នករួមចំណែកដែលត្រូវបានសម្របសម្រួល ឬអ្នកប្រើប្រាស់ដើម្បីចុះឈ្មោះជាអ្នករួមចំណែកនោះ Wordfence និយាយថា អ្នកវាយប្រហារអាចលួចព័ត៌មានរសើប រៀបចំខ្លឹមសារគេហទំព័រ អ្នកគ្រប់គ្រងវាយប្រហារ កែសម្រួលឯកសារ ឬបញ្ជូនអ្នកទស្សនាទៅកាន់គេហទំព័រដែលមានគំនិតអាក្រក់។

Wordfence បាននិយាយថា ខ្លួនបានទាក់ទងក្រុមអភិវឌ្ឍន៍ LiteSpeed ​​​​Cache នៅថ្ងៃទី 14 ខែសីហា។ បំណះនេះត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅថ្ងៃទី 16 ខែសីហា ហើយបានចេញផ្សាយទៅកាន់ WordPress នៅថ្ងៃទី 10 ខែតុលា។ ឥឡូវនេះ អ្នកប្រើប្រាស់ត្រូវអាប់ដេត LiteSpeed ​​​Cache ទៅកំណែ 5.7 ដើម្បីជួសជុលកំហុសសុវត្ថិភាពនេះឱ្យបានពេញលេញ។ ទោះបីជាមានគ្រោះថ្នាក់ក៏ដោយ មុខងារការពារស្គ្រីបឆ្លងគេហទំព័រដែលភ្ជាប់មកជាមួយនៃជញ្ជាំងភ្លើង Wordfence បានជួយការពារការកេងប្រវ័ញ្ចនេះ។