พบช่องโหว่ใหม่ที่ถูกเปิดเผยในปลั๊กอิน LiteSpeed Cache สำหรับ WordPress ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ด JavaScript ตามที่ต้องการได้ภายใต้เงื่อนไขบางประการ
ช่องโหว่หมายเลข CVE-2024-47374 (คะแนน CVSS: 7.2) เป็นช่องโหว่ cross-site scripting (XSS) ซึ่งส่งผลกระทบต่อปลั๊กอินทุกเวอร์ชันจนถึงเวอร์ชัน 6.5.0.2
โดยช่องโหว่ได้รับการแก้ไขไปแล้วในเวอร์ชัน 6.5.1 เมื่อวันที่ 25 กันยายน 2024 หลังจากการเปิดเผยข้อมูลจาก TaiYou นักวิจัยจาก Patchstack Alliance
Patchstack ระบุในรายงานว่า การกระทำดังกล่าวอาจทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตนสามารถขโมยข้อมูลที่มีความสำคัญได้ และผู้โจมตีสามารถยกระดับสิทธิ์บนเว็บไซต์ WordPress ได้ด้วยการส่ง HTTP request เพียงครั้งเดียว
ช่องโหว่นี้เกิดจากลักษณะที่ปลั๊กอิน "X-LSCACHE-VARY-VALUE" ในส่วน HTTP header ถูกแยกวิเคราะห์โดยไม่มีการ sanitization ที่เพียงพอ และ output escaping อย่างถูกวิธี ส่งผลทำให้ผู้โจมตีสามารถแทรกสคริปต์ในเว็บไซต์ตามที่ต้องการได้
โดยแสดงให้เห็นว่า การตั้งค่าเพื่อเพิ่มประสิทธิภาพในส่วนของ CSS Combine และ Generate UCSS มีความจำเป็นที่ต้องเปิดใช้งานเพื่อให้การโจมตีสำเร็จ
นักวิจัยเรียกการโจมตีแบบนี้ว่า persistent XSS attacks และช่องโหว่ดังกล่าวเป็นช่องโหว่ที่ทำให้สามารถจัดเก็บ injected script ไว้บนเซิร์ฟเวอร์ของเว็บไซต์เป้าหมายได้อย่างถาวร ยกตัวอย่างเช่น ใน database, ใน message forum, ใน visitor log หรือใน comment
โดยโค้ดอันตรายที่ฝังอยู่ในสคริปต์จะทำงานทุกครั้งที่มีผู้เข้ามาเยี่ยมชมเว็บไซต์ ซึ่งผู้เยี่ยมชมจะถูกโจมตีโดยที่ไม่รู้ตัว
การโจมตีแบบ Stored XSS มีผลกระทบที่ร้ายแรง เนื่องจากอาจถูกนำมาใช้เป็นเครื่องมือเพื่อโจมตีบนเว็บเบราว์เซอร์ และขโมยข้อมูลสำคัญ รวมทั้งยึด และใช้งานเซสชันของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์แล้ว
สถานการณ์ที่สร้างความเสียหายมากที่สุดคือเมื่อบัญชีผู้ใช้ที่ถูกยึดเป็นของผู้ดูแลระบบ โดยจะทำให้ผู้โจมตีสามารถควบคุมเว็บไซต์ได้อย่างสมบูรณ์ และอาจมีการโจมตีที่รุนแรงมากขึ้น
ปลั๊กอิน และธีม WordPress เป็นช่องทางที่นิยมสำหรับผู้โจมตีที่ต้องการเจาะเข้าเว็บไซต์ด้วย LiteSpeed Cache ซึ่งมีการติดตั้งใช้งานอยู่มากกว่าหกล้านครั้ง และช่องโหว่ของปลั๊กอินดังกล่าวเป็นสิ่งที่ผู้โจมตีสามารถทำเงินจากมันได้
นักพัฒนาได้แก้ไขช่องโหว่ของปลั๊กอินในแพตช์ล่าสุดเมื่อเดือนที่แล้ว และมีการแก้ไขช่องโหว่หมายเลข (CVE-2024-44000 คะแนน CVSS: 7.5) ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้ที่ไม่ต้องผ่านการยืนยันตัวตนสามารถเข้าควบคุมบัญชีโดยที่ไม่ได้รับอนุญาตได้
นอกจากนี้ ยังมีการเปิดเผยช่องโหว่ SQL injection ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขในปลั๊กอิน TI WooCommerce Wishlist (CVE-2024-43917, คะแนน CVSS: 9.8) เป็นช่องโหว่ที่เมื่อโจมตีสำเร็จจะอนุญาตให้ผู้ใช้สามารถเข้าถึง SQL queries ในส่วนของ database WordPress ได้
ทั้งนี้ ยังมีช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับปลั๊กอิน Jupiter X Core WordPress (CVE-2024-7772, คะแนน CVSS: 9.8) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์ที่ต้องการบนเซิร์ฟเวอร์ของเว็บไซต์ที่ถูกโจมตีได้ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
สุดท้ายช่องโหว่ authentication bypass flaw ที่มีระดับความรุนแรงสูง ในปลั๊กอิน Jupiter X Core WordPress เช่นเดียวกัน (CVE-2024-7781, คะแนน CVSS: 8.1) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถเข้าสู่ระบบในฐานะ first user ด้วยบัญชีโซเชียลมีเดีย หรืออาจเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบ ซึ่งได้รับการแก้ไขแล้วในเวอร์ชัน 4.7.8
ที่มา : thehackernews
You must be logged in to post a comment.