ຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພເຮັດໃຫ້ 4 ລ້ານເວັບໄຊທ໌ WordPress ມີຄວາມສ່ຽງ

ການຂຽນໃນ blog ຂອງຕົນ, ທີມຂ່າວລັບໄພຂົ່ມຂູ່ຂອງ Wordfence ກ່າວວ່າມັນໄດ້ເປີດເຜີຍຢ່າງມີຄວາມຮັບຜິດຊອບກ່ຽວກັບຊ່ອງໂຫວ່ຂອງ scripting cross-site (XSS) ໃນ plugin LiteSpeed Cache, add-on ທີ່ນິຍົມທີ່ຕິດຕັ້ງຢູ່ໃນຫຼາຍກວ່າ 4 ລ້ານເວັບໄຊທ໌ WordPress. ຊ່ອງໂຫວ່ນີ້ອະນຸຍາດໃຫ້ແຮກເກີທີ່ມີສິດທິຂອງຜູ້ປະກອບສ່ວນສາມາດໃສ່ສະຄຣິບທີ່ເປັນອັນຕະລາຍໂດຍໃຊ້ shortcodes.

LiteSpeed Cache ເປັນ plugin ທີ່ເລັ່ງເວັບໄຊທ໌ WordPress ດ້ວຍການເພີ່ມຖານຄວາມຈໍາແລະການເພີ່ມປະສິດທິພາບລະດັບເຄື່ອງແມ່ຂ່າຍ. plugin ນີ້ສະຫນອງ shortcode ທີ່ສາມາດຖືກນໍາໃຊ້ເພື່ອ cache blocks ການນໍາໃຊ້ເຕັກໂນໂລຊີ Edge Side ເມື່ອເພີ່ມໃສ່ WordPress.

ຢ່າງໃດກໍຕາມ, Wordfence ກ່າວວ່າການປະຕິບັດ shortcode ຂອງ plugin ແມ່ນບໍ່ປອດໄພ, ອະນຸຍາດໃຫ້ script arbitrary ເຂົ້າໄປໃນຫນ້າເຫຼົ່ານີ້. ການກວດສອບລະຫັດທີ່ມີຄວາມສ່ຽງໄດ້ເປີດເຜີຍວ່າວິທີການ shortcode ບໍ່ໄດ້ກວດສອບການປ້ອນຂໍ້ມູນແລະຜົນຜະລິດຢ່າງພຽງພໍ. ນີ້ອະນຸຍາດໃຫ້ນັກສະແດງໄພຂົ່ມຂູ່ປະຕິບັດການໂຈມຕີ XSS. ເມື່ອໃສ່ເຂົ້າໄປໃນຫນ້າຫຼືໂພດ, script ຈະດໍາເນີນການທຸກຄັ້ງທີ່ຜູ້ໃຊ້ໄປຢ້ຽມຢາມມັນ.

Lỗi bảo mật khiến 4 triệu website WordPress gặp nguy hiểm - Ảnh 1. — LiteSpeed Cache ເປັນ plugin ເລັ່ງຄວາມໄວທີ່ມີຊື່ສຽງໃນເວທີ WordPress.

ໃນຂະນະທີ່ຄວາມອ່ອນແອຮຽກຮ້ອງໃຫ້ມີບັນຊີຜູ້ປະກອບສ່ວນທີ່ຖືກທໍາລາຍຫຼືຜູ້ໃຊ້ລົງທະບຽນເປັນຜູ້ປະກອບສ່ວນ, Wordfence ກ່າວວ່າຜູ້ໂຈມຕີສາມາດລັກເອົາຂໍ້ມູນທີ່ລະອຽດອ່ອນ, ຈັດການເນື້ອຫາເວັບໄຊທ໌, ຜູ້ເບິ່ງແຍງການໂຈມຕີ, ແກ້ໄຂໄຟລ໌, ຫຼືສົ່ງຜູ້ເຂົ້າຊົມໄປຫາເວັບໄຊທ໌ທີ່ເປັນອັນຕະລາຍ.

Wordfence ກ່າວວ່າມັນໄດ້ຕິດຕໍ່ກັບທີມພັດທະນາ LiteSpeed Cache ໃນເດືອນສິງຫາ 14. patch ໄດ້ deployed ໃນເດືອນສິງຫາ 16 ແລະປ່ອຍອອກມາເມື່ອ WordPress ໃນເດືອນຕຸລາ 10. ຜູ້ໃຊ້ໃນປັດຈຸບັນຈໍາເປັນຕ້ອງໄດ້ປັບປຸງ LiteSpeed Cache ກັບຮຸ່ນ 5.7 ເພື່ອແກ້ໄຂຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພນີ້ຢ່າງສົມບູນ. ເຖິງແມ່ນວ່າອັນຕະລາຍ, ຄຸນນະສົມບັດການປົກປ້ອງ Cross-Site Scripting ຂອງ Firewall Wordfence ໄດ້ຊ່ວຍປ້ອງກັນການຂູດຮີດນີ້.

ແຫຼ່ງທີ່ມາ

: ຄວາມຜິດພາດຄວາມປອດໄພຂຸມຄວາມປອດໄພ ການລັກຂໍ້ມູນ

(0)

No data