พบช่องโหว่ร้ายแรงในปลั๊กอิน LiteSpeed Cache เว็บไซต์ WordPress กว่า 6 ล้านเว็บเสี่ยงถูกโจมตี

นักวิจัยด้านความปลอดภัยพบช่องโหว่ร้ายแรงใน LiteSpeed Cache ปลั๊กอินสำหรับเพิ่มความเร็วในการโหลดเว็บไซต์ WordPress ที่มีผู้ใช้งานกว่า 6 ล้านเว็บไซต์

Credit: Nicescene/ShutterStock

ช่องโหว่นี้มีรหัส CVE-2024-44000 ทำให้ผู้โจมตีสามารถยึดควบคุมบัญชีผู้ใช้ได้โดยไม่ต้องยืนยันตัวตน ค้นพบโดย Rafie Muhammad จาก Patchstack เมื่อวันที่ 22 สิงหาคม 2567 และได้รับการแก้ไขในเวอร์ชัน 6.5.0.1 ที่เพิ่งเปิดตัวเมื่อวานนี้ สาเหตุของช่องโหว่เกิดจากฟีเจอร์ Debug logging ที่จะบันทึก HTTP response headers ทั้งหมดลงในไฟล์ รวมถึง “Set-Cookie” header ที่มี session cookies สำหรับยืนยันตัวตนผู้ใช้ ทำให้ผู้โจมตีสามารถขโมย cookies เหล่านี้เพื่อปลอมตัวเป็นผู้ดูแลระบบและเข้าควบคุมเว็บไซต์ได้ ผู้พัฒนาได้แก้ไขปัญหาโดยย้ายตำแหน่งไฟล์ log, สุ่มชื่อไฟล์, และลบตัวเลือกในการบันทึก cookies

ผู้ใช้งาน LiteSpeed Cache ควรอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็ว รวมถึงลบไฟล์ ‘debug.log’ ทั้งหมดออกจากเซิร์ฟเวอร์ และตั้งค่า .htaccess เพื่อป้องกันการเข้าถึงไฟล์ log โดยตรง ทั้งนี้ แม้จะมีผู้ดาวน์โหลดเวอร์ชันใหม่แล้วกว่า 375,000 ราย แต่ยังคงมีเว็บไซต์ที่เสี่ยงต่อการถูกโจมตีอีกกว่า 5.6 ล้านเว็บ

ที่มา: https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Foxconn ร่วมมือกับ NVIDIA สร้างซูเปอร์คอมพิวเตอร์ AI ที่เร็วที่สุดในไต้หวัน

Foxconn จับมือ NVIDIA สร้างซูเปอร์คอมพิวเตอร์ AI ทรงพลังที่สุดในไต้หวัน คาดเริ่มใช้งานปี 2025

Microsoft ยุติการสนับสนุน Windows 11 รุ่น 22H2 สำหรับ Home และ Pro

Microsoft ยุติการสนับสนุน Windows 11 รุ่น 22H2 สำหรับ Home และ Pro พร้อมเริ่มอัปเกรดอัตโนมัติเป็น Windows 11 2024 Update