352/67 (IT) ประจำวันจันทร์ที่ 7 ตุลาคม 2567
การค้นพบล่าสุดเผยให้เห็นช่องโหว่ร้ายแรงสูงในปลั๊กอิน LiteSpeed Cache บน WordPress ซึ่งอาจเปิดทางให้ผู้โจมตีรันโค้ด JavaScript ตามอำเภอใจ ช่องโหว่นี้ถูกระบุด้วยรหัส CVE-2024-47374 และมีคะแนนความรุนแรง CVSS 7.2 ส่งผลกระทบต่อเวอร์ชันสูงสุด 6.5.0.2 ของปลั๊กอินที่มีการติดตั้งใช้งานกว่า 6 ล้านครั้ง
ช่องโหว่นี้เกิดจากปัญหา Cross-site Scripting (XSS) ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อนหรือเพิ่มสิทธิ์บนเว็บไซต์ WordPress ได้ โดยการดำเนินการคำขอ HTTP เพียงครั้งเดียว หากเปิดใช้งานการตั้งค่าบางอย่าง เช่น “CSS Combine” และ “Generate UCSS” ช่องโหว่นี้อาจทำให้ผู้โจมตีเข้าควบคุมเว็บไซต์ทั้งหมดได้
LiteSpeed Cache เป็นปลั๊กอินยอดนิยมที่ใช้ใน WordPress สำหรับการเร่งความเร็วเว็บไซต์ และมักร่วมใช้งานกับปลั๊กอินยอดนิยมอย่าง WooCommerce และ Yoast SEO ซึ่งทำให้มีความเสี่ยงสูงต่อการถูกโจมตี และการแก้ไขช่องโหว่นี้ได้ถูกปล่อยออกมาในเวอร์ชัน 6.5.1 เมื่อวันที่ 25 กันยายน 2024 แล้ว ผู้ดูแลระบบเว็บไซต์จึงควรรีบอัปเดตทันทีเพื่อป้องกันการโจมตีจากผู้ไม่หวังดี นอกจากนี้ นักพัฒนายังแก้ไขช่องโหว่อีกตัวหนึ่งที่ระบุเป็น CVE-2024-44000 ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลคุกกี้และเพิ่มสิทธิ์เป็นระดับผู้ดูแลระบบได้ ช่องโหว่นี้ได้รับการแก้ไขในเวอร์ชัน 6.5.0.1 ของปลั๊กอิน
แหล่งข่าว https://securityaffairs.com/169390/security/wordpress-litespeed-cache-plugin-flaw-site-takeover.html
