315/67 (IT) ประจำวันอังคารที่ 10 กันยายน 2567
นักวิจัยจาก Patchstack ได้ออกมาเตือนถึงช่องโหว่ร้ายแรงในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งมีผู้ใช้งานมากกว่า 5 ล้านเว็บไซต์ ช่องโหว่ดังกล่าวมีรหัส CVE-2024-44000 โดยมีคะแนนความเสี่ยง CVSS 7.5 ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์เข้าควบคุมบัญชีผู้ใช้ และเพิ่มสิทธิ์เป็นผู้ดูแลระบบได้ โดยข้อบกพร่องนี้เกิดจากการรั่วไหลของข้อมูลคุกกี้ในไฟล์บันทึกการดีบักของ WordPress ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบเว็บไซต์ด้วยเซสชันของผู้ใช้ที่ถูกต้องได้ อย่างไรก็ตาม ช่องโหว่นี้จะเกิดขึ้นเฉพาะเมื่อมีการเปิดใช้งานฟีเจอร์การดีบัก ซึ่งปิดใช้งานตามค่าเริ่มต้นใน WordPress สำหรับวิธีการป้องกันนั้น ผู้ใช้งานควรอัปเดตปลั๊กอิน LiteSpeed Cache เป็นเวอร์ชัน 6.5.0.1 ซึ่งได้แก้ไขปัญหานี้แล้ว นอกจากนี้ ควรลบไฟล์บันทึกเก่าที่อาจมีข้อมูลคุกกี้หลุดรั่ว เพื่อป้องกันการเข้าถึงไฟล์บันทึกโดยตรง เพื่อป้องกันการโจมตีจากผู้ไม่หวังดี การอัปเดตและป้องกันช่องโหว่เป็นสิ่งสำคัญเพื่อให้การใช้งาน WordPress ปลอดภัยยิ่งขึ้น
แหล่งข่าว https://securityaffairs.com/168145/security/litespeed-cache-plugin-wordpress-flaw.html