Уязвимость плагина LiteSpeed Cache для WordPress позволяет хакерам взламывать сайты

В популярном плагине LiteSpeed Cache для WordPress обнаружили уязвимость, которая позволяла злоумышленникам получить статус администратора. Обладая такими повышенными привилегиями, они смогут выполнять всевозможные вредоносные действия на взломанных веб-сайтах.
Уязвимость плагина LiteSpeed Cache для WordPress позволяет хакерам взламывать сайты

Уязвимость плагина LiteSpeed Cache для WordPress позволяет хакерам взламывать сайты. Фото: СС0

По словам исследователей из Patchstack, уязвимость была обнаружена в функции is_role_simulation, и она относительно похожа на другую уязвимость, обнаруженную прошлым летом. Функция, по-видимому, использовала слабую проверку хэша безопасности, которую можно было взломать методом подбора, что давало злоумышленникам возможность злоупотреблять функцией краулера и имитировать вошедшего в систему администратора.

Однако прежде чем уязвимостью можно будет злоупотребить, необходимо соблюсти несколько факторов.

Среди них включение сканера с продолжительностью запуска от 2500 до 4000 и интервалами между запусками от 2500 до 4000. Ограничение нагрузки на сервер должно быть установлено на 9, имитация роли — на 1 (идентификатор пользователя с ролью администратора), а также следует отключить все строки, кроме администратора.

Уязвимость отслеживается как CVE-2024-50550 и имеет оценку серьезности 8.1 (высокая серьезность). Она уже была исправлена, причем версия 6.5.2 плагина является самой ранней чистой. LiteSpeed ​​Cache — один из самых популярных плагинов для оптимизации работы сайтов, с более чем 6 млн активных установок.

О каких-либо доказательствах реальных злоупотреблений не сообщается, поэтому есть вероятность, что киберпреступники не обнаружили эту уязвимость.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

3 комментария

Добавить комментарий

Больше интересного

Актуальное

Сводка уязвимостей SAST теперь доступна на панели обзора безопасности GitHub
Разработчики Google Workspace выпустили общедоступную версию функции аналитики и рекомендаций Context Aware Access
В QNAP выпустили исправления безопасности для второй уязвимости нулевого дня
Ещё…