ຂໍ້ບົກຜ່ອງດ້ານຄວາມປອດໄພເຮັດໃຫ້ເວັບໄຊທ໌ WordPress 4 ລ້ານເວັບໄຊທ໌ຕົກຢູ່ໃນຄວາມສ່ຽງ.

[ໂຄສະນາ_1]

ໂດຍຂຽນໃນບລັອກຂອງເຂົາເຈົ້າ, ທີມງານສືບລັບໄພຂົ່ມຂູ່ຂອງ Wordfence ໄດ້ປະກາດວ່າພວກເຂົາຮັບຜິດຊອບໃນການເປີດເຜີຍຊ່ອງໂຫວ່ການສີດລະຫັດຂ້າມເວັບໄຊທ໌ (XSS) ໃນປລັກອິນ LiteSpeed Cache. ສ່ວນເສີມທີ່ນິຍົມນີ້ໄດ້ຖືກຕິດຕັ້ງຢູ່ໃນເວັບໄຊທ໌ WordPress ຫຼາຍກວ່າ 4 ລ້ານເວັບໄຊທ໌. ຊ່ອງໂຫວ່ຄວາມປອດໄພນີ້ຊ່ວຍໃຫ້ແຮກເກີທີ່ມີສິດພິເສດໃນການປະກອບສ່ວນສາມາດສີດສະຄຣິບທີ່ເປັນອັນຕະລາຍໂດຍໃຊ້ລະຫັດສັ້ນ.

LiteSpeed Cache ເປັນປລັກອິນເພີ່ມຄວາມໄວເວັບໄຊທ໌ WordPress ທີ່ໃຊ້ caching ແລະຮອງຮັບການເພີ່ມປະສິດທິພາບລະດັບເຊີບເວີ. add-on ນີ້ໃຫ້ shortcode ທີ່ສາມາດໃຊ້ເພື່ອ cache blocks ໂດຍໃຊ້ເທັກໂນໂລຢີ Edge Side ເມື່ອເພີ່ມເຂົ້າໃນ WordPress.

ເຖິງຢ່າງໃດກໍ່ຕາມ, Wordfence ໄດ້ລະບຸວ່າການຈັດຕັ້ງປະຕິບັດ shortcode ຂອງ plugin ແມ່ນບໍ່ປອດໄພ, ເຊິ່ງອະນຸຍາດໃຫ້ມີການສັກ script ຕ່າງໆເຂົ້າໄປໃນໜ້າເຫຼົ່ານີ້. ການກວດສອບຄວາມສ່ຽງໄດ້ເປີດເຜີຍວ່າວິທີການ shortcode ບໍ່ໄດ້ກວດສອບການປ້ອນຂໍ້ມູນ ແລະ ຜົນຜະລິດຢ່າງພຽງພໍ. ສິ່ງນີ້ຊ່ວຍໃຫ້ຜູ້ກະທຳຜິດສາມາດປະຕິບັດການໂຈມຕີ XSS ໄດ້. ເມື່ອຝັງຢູ່ໃນໜ້າ ຫຼື ໂພສແລ້ວ, script ຈະປະຕິບັດທຸກຄັ້ງທີ່ຜູ້ໃຊ້ເຂົ້າເຖິງມັນ.

Lỗi bảo mật khiến 4 triệu website WordPress gặp nguy hiểm - Ảnh 1. — LiteSpeed Cache ເປັນ plugin ເພີ່ມຄວາມໄວທີ່ນິຍົມສຳລັບແພລດຟອມ WordPress.

ເຖິງແມ່ນວ່າຊ່ອງໂຫວ່ນີ້ຮຽກຮ້ອງໃຫ້ບັນຊີຂອງຜູ້ປະກອບສ່ວນຖືກໂຈມຕີ ຫຼື ຜູ້ໃຊ້ຕ້ອງລົງທະບຽນເປັນຜູ້ປະກອບສ່ວນ, Wordfence ກ່າວວ່າຜູ້ໂຈມຕີສາມາດລັກຂໍ້ມູນທີ່ລະອຽດອ່ອນ, ຫຼອກລວງເນື້ອຫາເວັບໄຊທ໌, ໂຈມຕີຜູ້ເບິ່ງແຍງລະບົບ, ແກ້ໄຂໄຟລ໌ ຫຼື ປ່ຽນເສັ້ນທາງຜູ້ມາຢ້ຽມຢາມເວັບໄຊທ໌ທີ່ເປັນອັນຕະລາຍ.

Wordfence ໄດ້ລະບຸວ່າໄດ້ຕິດຕໍ່ທີມງານພັດທະນາ LiteSpeed Cache ໃນວັນທີ 14 ສິງຫາ. ການແກ້ໄຂໄດ້ຖືກນຳໃຊ້ໃນວັນທີ 16 ສິງຫາ ແລະ ປ່ອຍອອກມາໃຫ້ WordPress ໃນວັນທີ 10 ຕຸລາ. ປະຈຸບັນຜູ້ໃຊ້ຈຳເປັນຕ້ອງອັບເດດ LiteSpeed Cache ເປັນເວີຊັນ 5.7 ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ຄວາມປອດໄພນີ້ຢ່າງຄົບຖ້ວນ. ເຖິງແມ່ນວ່າຈະເປັນອັນຕະລາຍ, ແຕ່ການປົກປ້ອງ Cross-Site Scripting ໃນຕົວຂອງ Wordfence ໄດ້ຊ່ວຍປ້ອງກັນການໂຈມຕີນີ້.

[ໂຄສະນາ_2]
ລິ້ງແຫຼ່ງຂໍ້ມູນ