Уязвимость, обозначенная как CVE-2024-28000, позволяет неаутентифицированным злоумышленникам повысить свои привилегии и получить полный контроль над уязвимыми веб-сайтами путем создания учетных записей администратора, установки вредоносных плагинов и потенциального перенаправления трафика или распространения вредоносного ПО.
Плагин кэша LiteSpeed и уязвимость безопасности
LiteSpeed Cache — один из самых популярных плагинов кеширования Список телефонных номеров WordPress, используемый более чем пятью миллионами веб-сайтов. Он отвечает за оптимизацию производительности веб-сайта путем кэширования версий страниц для сокращения времени загрузки.
Однако эта же функция оптимизации таит в себе серьезную уязвимость в функции моделирования пользователя, которая использует слабый хэш безопасности.
Этот хэш, представляющий собой комбинацию символов, сгенерированную для проверки операций, ограничен небольшим количеством возможных комбинаций (всего один миллион).
Это делает хэш уязвимым для атак методом перебора, что позволяет неаутентифицированным злоумышленникам обнаружить правильное значение и принять личности пользователей с административными привилегиями.
Благодаря этому они могут создавать новые учетные записи администратора, изменять важные настройки и устанавливать вредоносные плагины для компрометации веб-сайта.
Влияние и рекомендуемые действия на сайтах WordPress
Уязвимость затрагивает все версии плагина до 6.3.0.1, исправлена в версии 6.4, выпущенной в августе 2024 года.
Хотя патч доступен, предполагается, что многие сайты еще не обновили плагин, оставаясь уязвимыми для атак.
Администраторам сайтов WordPress, использующим LiteSpeed Cache, настоятельно рекомендуется немедленно обновить плагин до последней версии.
Кроме того, рекомендуется проверить учетные записи пользователей на веб-сайте, чтобы убедиться в отсутствии подозрительных учетных записей, и, следовательно, принять временные меры по снижению риска, такие как настройка файлов плагинов или добавление правил безопасности, если невозможно выполнить немедленное обновление.
