កំហុសសុវត្ថិភាពធ្វើឱ្យគេហទំព័រ WordPress 4 លានមានហានិភ័យ

ដោយសរសេរនៅលើប្លក់របស់ខ្លួន ក្រុមស៊ើបការណ៍ការគំរាមកំហែងរបស់ Wordfence បាននិយាយថា ខ្លួនបានបង្ហាញពីទំនួលខុសត្រូវលើភាពងាយរងគ្រោះនៃការសរសេរស្គ្រីបឆ្លងគេហទំព័រ (XSS) នៅក្នុងកម្មវិធីជំនួយ LiteSpeed ​​​​Cache ។ នេះគឺជាកម្មវិធីជំនួយដ៏ពេញនិយមមួយដែលត្រូវបានដំឡើងនៅលើគេហទំព័រ WordPress ជាង 4 លាន។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យពួក Hacker ដែលមានសិទ្ធិចូលរួមវិភាគទានបញ្ចូលស្គ្រីបព្យាបាទដោយប្រើ shortcodes ។

LiteSpeed ​​​​Cache គឺជាកម្មវិធីជំនួយដែលបង្កើនល្បឿនគេហទំព័រ WordPress ជាមួយនឹងការគាំទ្រការបង្កើនប្រសិទ្ធភាពឃ្លាំងសម្ងាត់និងកម្រិតម៉ាស៊ីនមេ។ កម្មវិធីជំនួយនេះផ្តល់នូវកូដខ្លីដែលអាចត្រូវបានប្រើដើម្បីរក្សាទុកប្លុកដោយប្រើបច្ចេកវិទ្យា Edge Side នៅពេលបន្ថែមទៅ WordPress ។

ទោះយ៉ាងណាក៏ដោយ Wordfence និយាយថាការអនុវត្ត shortcode របស់កម្មវិធីជំនួយគឺមិនមានសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យបញ្ចូលអក្សរតាមអំពើចិត្តទៅក្នុងទំព័រទាំងនេះ។ ការធ្វើតេស្តកូដដែលងាយរងគ្រោះបង្ហាញថា វិធីសាស្ត្រ shortcode មិនបានត្រួតពិនិត្យការបញ្ចូល និងលទ្ធផលឱ្យបានគ្រប់គ្រាន់នោះទេ។ នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើការវាយប្រហារ XSS ។ នៅពេលបញ្ចូលក្នុងទំព័រ ឬប្រកាស ស្គ្រីបនឹងប្រតិបត្តិរាល់ពេលដែលអ្នកប្រើប្រាស់ចូលមើលវា។

ខណៈពេលដែលភាពងាយរងគ្រោះតម្រូវឱ្យគណនីអ្នករួមចំណែកដែលត្រូវបានសម្របសម្រួល ឬអ្នកប្រើប្រាស់ដើម្បីចុះឈ្មោះជាអ្នករួមចំណែកនោះ Wordfence និយាយថា អ្នកវាយប្រហារអាចលួចព័ត៌មានរសើប រៀបចំខ្លឹមសារគេហទំព័រ អ្នកគ្រប់គ្រងវាយប្រហារ កែសម្រួលឯកសារ ឬបញ្ជូនអ្នកទស្សនាទៅកាន់គេហទំព័រដែលមានគំនិតអាក្រក់។

Wordfence បាននិយាយថាវាបានទាក់ទងក្រុមអភិវឌ្ឍន៍ LiteSpeed ​​​​Cache នៅថ្ងៃទី 14 ខែសីហា។ បំណះនេះត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅថ្ងៃទី 16 ខែសីហា ហើយបានចេញផ្សាយទៅកាន់ WordPress នៅថ្ងៃទី 10 ខែតុលា។ ឥឡូវនេះ អ្នកប្រើប្រាស់ត្រូវអាប់ដេត LiteSpeed ​​Cache ទៅជាកំណែ 5.7 ដើម្បីជួសជុលកំហុសសុវត្ថិភាពនេះឱ្យបានពេញលេញ។ ទោះបីជាមានគ្រោះថ្នាក់ក៏ដោយ ការការពារស្គ្រីបឆ្លងគេហទំព័រដែលភ្ជាប់មកជាមួយជញ្ជាំងភ្លើង Wordfence បានជួយការពារការកេងប្រវ័ញ្ចនេះ។