O vulnerabilitate ciritcă în pluginul LiteSpeed Cache pentru WordPress a fost descoperită, permițând atacatorilor să obțină privilegii de administrator fără autentificare și să efectueze acțiuni malițioase. Cu un scor CVSS de 8.1, această problemă de securitate a fost rezolvată în versiunea 6.5.2 a pluginului.
TL;DR
- Vulnerabilitate severă în pluginul LiteSpeed Cache pentru WordPress
- Permite escaladarea privilegiilor fără autentificare
- Afectează peste 6 milioane de site-uri WordPress
- Remediată în versiunea 6.5.2
- Risc crescut dacă se menține configurarea specifică a pluginului
Detaliile vulnerabilității
O vulnerabilitate ciritcă a fost dezvăluită în pluginul LiteSpeed Cache, utilizat pe scară largă în WordPress pentru accelerarea site-urilor, care permite unui actor neautorizat să obțină nivel de acces de administrator și să instaleze pluginuri malițioase. Aceasta vulnerabilitate, marcată ca CVE-2024-50550, poate fi explodată dacă pluginul este configurat corespunzător.
Impactul asupra site-urilor WordPress
Această vulnerabilitate afectează o bază mare de utilizatori WordPress, dat fiind numărul ridicat de instalări ale pluginului. Un actor care exploatează cu succes această problemă poate prelua controlul complet asupra site-ului, compromițând securitatea datelor și conținutul acestuia.
Măsuri de remediere
Dezvoltatorii LiteSpeed au eliminat procesul de simulare a rolului și au actualizat generarea hash-urilor folosind un generator de valori aleatorii pentru a împiedica limitarea hash-urilor la un milion de posibilități. Acest lucru subliniază importanța menținerii securității și impredictibilității hash-urilor și nonce-urilor folosite în funcțiile de securitate.
Cum să vă protejați
Pentru a vă proteja site-ul de astfel de vulnerabilități, este esențial să actualizați pluginul la cea mai nouă versiune și să revizuiți configurările pluginului pentru a evita scenarii de risc. De asemenea, utilizatorii sunt încurajați să fie vigilenți la orice actualizări de securitate și să instaleze corecțiile de îndată ce acestea devin disponibile.
Sursa articolului:
https://thehackernews.com/2024/10/litespeed-cache-plugin-vulnerability.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
