Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress
Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress. Фото: СС0
Эксплуатация уязвимости началась на следующий день после того, как технические подробности стали достоянием общественности.
Уязвимость отслеживается как CVE-2024-28000 и позволяет повышать привилегии без аутентификации во всех версиях плагина WordPress до 6.3.0.1.
Брешь в безопасности возникает из-за слабой проверки хэша в функции имитации пользователя плагина, что может быть использовано злоумышленниками для подбора значения хэша с целью создания поддельных учетных записей администратора.
Это может привести к полному захвату затронутых веб-сайтов, что позволит устанавливать вредоносные плагины, изменять критические настройки, перенаправлять трафик на вредоносные сайты и красть данные пользователей.
Рафи Мухаммад из Patchstack вчера в своем посте поделился подробностями о том, как запустить генерацию хеша, показав, как взломать хеш, чтобы повысить привилегии, а затем создать новую учетную запись администратора через REST API.
Метод Мухаммеда продемонстрировал, что атака методом перебора миллиона возможных значений хэш-функции безопасности со скоростью три запроса в секунду позволяет получить доступ к сайту под любым идентификатором пользователя всего за несколько часов.
LiteSpeed Cache используется более чем 5 млн сайтов. Лишь около 30% используют безопасную версию плагина.
Компания Wordfence, занимающаяся безопасностью WordPress, сообщает, что за последние 24 часа она обнаружила и заблокировала более 48, 5 тыс. атак, нацеленных на CVE-2024-28000, что свидетельствует об интенсивной активности эксплойтов.
Пользователям LiteSpeed Cache рекомендуется как можно скорее обновиться до последней доступной версии 6.4.1 или удалить плагин с веб-сайта.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.
Статьи по теме
Комментариев пока не было