LiteSpeed Cache เป็นปลั๊กอินเพิ่มความเร็วเว็บไซต์ WordPress ที่ได้รับความนิยมมากที่สุด โดยมีการติดตั้งใช้งานจริงมากกว่า 5 ล้านครั้งและรองรับทั้ง WooCommerce, bbPress, ClassicPress และ Yoast SEO
จากการตรวจพบข้อบกพร่องของปลั๊กอิน Litespeed Cache ที่ทำให้เว็บไซต์ WordPress หลายล้านแห่งอาจถูกโจมตีด้วยช่องโหว่ที่อ้างอิงฟีเจอร์การจำลองผู้ใช้งานที่กำหนดค่า hash ต่ำ จึงทำให้มีการสุ่มโจมตี hash ส่งผลให้มีการสามารสร้างบัญชีแปลกปลอมระดับ Admin ได้
โดยช่องโหว่ดังกล่าวคือ CVE-2024-28000 ซึ่งเป็นช่องโหว่การให้ระดับสิทธิ์ที่ไม่ได้รับการรับรอง ใน LiteSpeed Cache เวอร์ชั่นเก่า
ล่าสุดทางทีมผู้พัฒนาเวอร์ได้ปล่อยตัวอัปเดตเวอร์ชันล่าสุด เวอร์ชัน 6.4.1 ที่ได้รับการแก้ไขแล้ว และได้ออกมาเตือนผู้ใช้งานให้ทำการอัปเดตเวอร์ชัน LiteSpeed Cache โดยเร็วที่สุด
แนวทางการป้องกัน
- อัปเดต Plugin ให้เป็น Version ล่าสุด
- ตรวจสอบรายชื่อ Users บนระบบหลังบ้านให้ไม่มีรายชื่อแปลกปลอมเสมอ