ນັກວິໄຈດ້ານຄວາມປອດໄພ ພົບຊ່ອງໂຫວ່ຮ້າຍແຮງໃນປັກອິນ LiteSpeed Cache ສຳລັບເພີ່ມຄວາມໄວໃນການໂຫຼດເວັບໄຊ WordPress ທີ່ມີຜູ້ໃຊ້ງານກວ່າ 6 ລ້ານເວັບໄຊ.
ຊ່ອງໂຫວ່ນີ້ມີລະຫັດ CVE-2024-44000 ເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດຄວບຄຸມບັນຊີຜູ້ໃຊ້ໄດ້ໂດຍບໍ່ຕ້ອງຢືນຢັນຕົວຕົນ ຄົ້ນພົບໂດຍ Rafie Muhammad ຈາກ Patchstack ໃນວັນທີ 22 ສິງຫາ 2024 ແລະ ໄດ້ຮັບການແກ້ໄຂໃນຮຸ່ນ 6.5.0.1 ທີ່ຫາກໍ່ເປີດໂຕ ສາເຫດຂອງຊ່ອງໂຫວ່ເກີດຈາກຄຸນສົມບັດ Debug logging ທີ່ຈະບັນທຶກ HTTP response headers ທັງໝົດລົງໃນໄຟລ໌ ລວມເຖິງ “Set-Cookie” header ທີ່ມີ session cookies ສຳລັບຢືນຢັນຕົວຕົນຜູ້ໃຊ້ ເຮັດໃຫ້ຜູ້ໂຈມຕີ ສາມາດລັກ cookies ເຫຼົ່ານີ້ ເພື່ອປອມຕົວເປັນຜູ້ເບິ່ງແຍງລະບົບ ແລະ ເຂົ້າຄວບຄຸມເວັບໄຊໄດ້ ຜູ້ພັດທະນາໄດ້ແກ້ໄຂບັນຫາໂດຍຍ້າຍຕຳແໜ່ງໄຟລ໌ log, ສຸ່ມຊື່ໄຟລ໌, ແລະ ລົບຕົວເລືອກໃນການບັນທຶກ cookies
ຜູ້ໃຊ້ງານ LiteSpeed Cache ຄວນອັບເດດເປັນຮຸ່ນຫລ້າສຸດໂດຍໄວ ລວມເຖິງລົບໄຟລ໌ ‘debug.log’ ທັງໝົດອອກຈາກ ເຊິເວີ ແລະ ຕັ້ງຄ່າ .htaccess ເພື່ອປ້ອງກັນການເຂົ້າເຖິງໄຟລ໌ log ໂດຍກົງ ທັງນີ້ ແມ່ນຈະມີຜູ້ດາວໂຫຼດຮຸ່ນໃໝ່ແລ້ວຫລາຍກວ່າ 375,000 ລາຍການ ແຕ່ຍັງຄົງມີເວັບໄຊ ທີ່ສ່ຽງຕໍ່ການຖືກໂຈມຕີອີກຫລາຍກວ່າ 5.6 ລ້ານເວັບໄຊ.
ທີ່ມາ : https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks/
