ทีมข่าวกรองภัยคุกคามของ Wordfence เขียนในบล็อกว่าได้เปิดเผยช่องโหว่ Cross-site Scripting (XSS) ในปลั๊กอิน LiteSpeed Cache ซึ่งเป็นส่วนเสริมยอดนิยมที่ติดตั้งในเว็บไซต์ WordPress มากกว่า 4 ล้านเว็บไซต์ ช่องโหว่ดังกล่าวทำให้แฮกเกอร์ที่มีสิทธิ์เป็นผู้สนับสนุนสามารถแทรกสคริปต์ที่เป็นอันตรายโดยใช้รหัสย่อได้
LiteSpeed Cache เป็นปลั๊กอินที่เพิ่มความเร็วให้กับเว็บไซต์ WordPress ด้วยการแคชและการเพิ่มประสิทธิภาพระดับเซิร์ฟเวอร์ ปลั๊กอินนี้มีชอร์ตโค้ดที่สามารถใช้แคชบล็อกโดยใช้เทคโนโลยี Edge Side เมื่อเพิ่มลงใน WordPress
อย่างไรก็ตาม Wordfence กล่าวว่าการใช้งานชอร์ตโค้ดของปลั๊กอินนั้นไม่ปลอดภัย ทำให้สามารถแทรกสคริปต์ต่างๆ ลงในเพจเหล่านี้ได้ การตรวจสอบโค้ดที่มีช่องโหว่เผยให้เห็นว่าวิธีชอร์ตโค้ดไม่ได้ตรวจสอบอินพุตและเอาต์พุตอย่างเพียงพอ ทำให้ผู้ก่อภัยคุกคามสามารถโจมตีด้วย XSS ได้ เมื่อแทรกสคริปต์ลงในเพจหรือโพสต์แล้ว สคริปต์จะดำเนินการทุกครั้งที่ผู้ใช้เข้าไปเยี่ยมชม
LiteSpeed Cache เป็นปลั๊กอินเพิ่มความเร็วที่โด่งดังบนแพลตฟอร์ม WordPress
แม้ว่าช่องโหว่นี้จำเป็นต้องมีบัญชีผู้สนับสนุนที่ถูกบุกรุกหรือผู้ใช้ต้องลงทะเบียนเป็นผู้สนับสนุน Wordfence กล่าวว่าผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน จัดการเนื้อหาเว็บไซต์ โจมตีผู้ดูแลระบบ แก้ไขไฟล์ หรือเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตรายได้
Wordfence กล่าวว่าได้ติดต่อทีมพัฒนา LiteSpeed Cache เมื่อวันที่ 14 สิงหาคม แพทช์ดังกล่าวได้ถูกนำไปใช้งานเมื่อวันที่ 16 สิงหาคม และเผยแพร่สู่ WordPress เมื่อวันที่ 10 ตุลาคม ปัจจุบันผู้ใช้จำเป็นต้องอัปเดต LiteSpeed Cache เป็นเวอร์ชัน 5.7 เพื่อแก้ไขจุดบกพร่องด้านความปลอดภัยนี้ให้สมบูรณ์ แม้ว่าจะเป็นอันตราย แต่ฟีเจอร์การป้องกัน Cross-Site Scripting ในตัวของไฟร์วอลล์ Wordfence ก็ช่วยป้องกันการโจมตีนี้ได้
ลิงค์ที่มา
การแสดงความคิดเห็น (0)