ทีมข่าวกรองภัยคุกคามของ Wordfence เขียนไว้ในบล็อกว่า ได้เปิดเผยช่องโหว่ Cross-site scripting (XSS) ในปลั๊กอิน LiteSpeed Cache ซึ่งเป็นส่วนเสริมยอดนิยมที่ติดตั้งบนเว็บไซต์ WordPress มากกว่า 4 ล้านเว็บไซต์อย่างมีความรับผิดชอบ ช่องโหว่นี้เปิดโอกาสให้แฮกเกอร์ที่มีสิทธิ์ระดับผู้ร่วมเขียนโค้ดสามารถแทรกสคริปต์อันตรายโดยใช้รหัสย่อได้
LiteSpeed Cache คือปลั๊กอินที่ช่วยเพิ่มความเร็วให้กับเว็บไซต์ WordPress ด้วยการแคชและการปรับแต่งระดับเซิร์ฟเวอร์ ปลั๊กอินนี้มีชอร์ตโค้ดที่สามารถใช้แคชบล็อกโดยใช้เทคโนโลยี Edge Side เมื่อเพิ่มลงใน WordPress
อย่างไรก็ตาม Wordfence ระบุว่าการใช้งาน shortcode ของปลั๊กอินนั้นไม่ปลอดภัย ทำให้สามารถแทรกสคริปต์ใดๆ เข้าไปในหน้าเว็บเหล่านี้ได้ การตรวจสอบโค้ดที่มีช่องโหว่พบว่าวิธี shortcode นี้ไม่ได้ตรวจสอบอินพุตและเอาต์พุตอย่างเพียงพอ ทำให้ผู้โจมตีสามารถโจมตีแบบ XSS ได้ เมื่อแทรกเข้าไปในหน้าเว็บหรือโพสต์แล้ว สคริปต์จะทำงานทุกครั้งที่ผู้ใช้เข้าชม
LiteSpeed Cache เป็นปลั๊กอินเพิ่มความเร็วที่โด่งดังบนแพลตฟอร์ม WordPress
แม้ว่าช่องโหว่ดังกล่าวจะต้องใช้บัญชีผู้สนับสนุนที่ถูกบุกรุกหรือผู้ใช้ต้องลงทะเบียนเป็นผู้สนับสนุน แต่ Wordfence กล่าวว่าผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน จัดการเนื้อหาเว็บไซต์ โจมตีผู้ดูแลระบบ แก้ไขไฟล์ หรือเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตรายได้
Wordfence ระบุว่าได้ติดต่อทีมพัฒนา LiteSpeed Cache เมื่อวันที่ 14 สิงหาคม แพตช์ดังกล่าวได้ถูกติดตั้งเมื่อวันที่ 16 สิงหาคม และเผยแพร่สู่ WordPress เมื่อวันที่ 10 ตุลาคม ขณะนี้ผู้ใช้จำเป็นต้องอัปเดต LiteSpeed Cache เป็นเวอร์ชัน 5.7 เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยนี้อย่างสมบูรณ์ แม้ว่าจะเป็นอันตราย แต่ฟีเจอร์ป้องกัน Cross-Site Scripting ในตัวของไฟร์วอลล์ Wordfence ก็ช่วยป้องกันการโจมตีนี้ได้
ลิงค์ที่มา
การแสดงความคิดเห็น (0)