Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress

Хакеры начали эксплуатировать критическую уязвимость LiteSpeed Cache. Этот плагин WordPress, использующийся для ускорения времени отклика.
Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress

Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress. Фото: СС0

Эксплуатация уязвимости началась на следующий день после того, как технические подробности стали достоянием общественности.

Уязвимость отслеживается как CVE-2024-28000 и позволяет повышать привилегии без аутентификации во всех версиях плагина WordPress до 6.3.0.1.

Брешь в безопасности возникает из-за слабой проверки хэша в функции имитации пользователя плагина, что может быть использовано злоумышленниками для подбора значения хэша с целью создания поддельных учетных записей администратора.

Это может привести к полному захвату затронутых веб-сайтов, что позволит устанавливать вредоносные плагины, изменять критические настройки, перенаправлять трафик на вредоносные сайты и красть данные пользователей.

Рафи Мухаммад из Patchstack вчера в своем посте поделился подробностями о том, как запустить генерацию хеша, показав, как взломать хеш, чтобы повысить привилегии, а затем создать новую учетную запись администратора через REST API.

Метод Мухаммеда продемонстрировал, что атака методом перебора миллиона возможных значений хэш-функции безопасности со скоростью три запроса в секунду позволяет получить доступ к сайту под любым идентификатором пользователя всего за несколько часов.

LiteSpeed ​​Cache используется более чем 5 млн сайтов. Лишь около 30% используют безопасную версию плагина.

Компания Wordfence, занимающаяся безопасностью WordPress, сообщает, что за последние 24 часа она обнаружила и заблокировала более 48, 5 тыс. атак, нацеленных на CVE-2024-28000, что свидетельствует об интенсивной активности эксплойтов.

Пользователям LiteSpeed ​​Cache рекомендуется как можно скорее обновиться до последней доступной версии 6.4.1 или удалить плагин с веб-сайта.

Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

Создание сторонних ресурсов и смарт-чипов внедрили в Google Docs
Microsoft исправила критическую ошибку безопасности в Copilot Studio
Эксплуатирующих уязвимость нулевого дня в браузере Chrome хакеров обнаружили исследователи
Ещё…