Një studiues i sigurisë ka raportuar një cenueshmëri serioze në LiteSpeed Cache, një shtojcë e njohur WordPress me mbi 5 milionë instalime. Mund të shfrytëzohet për të fituar privilegje të larta administratori dhe kështu të kryejë çdo detyrë në sajt. Zhvilluesi lëshoi patch-in më 13 gusht.
Instaloni versionin më të fundit menjëherë
LiteSpeed Cache është shtojca më e njohur e memorizimit për WordPress. Kjo ju lejon të përshpejtoni shfaqjen e faqeve përmes një cache të nivelit të serverit dhe optimizimeve të shumta. Është gjithashtu në përputhje me shtojcat e tjera të njohura, si WooCommerce, bbPress dhe Yoast SEO.
Dobësia e caktuar CVE-2024-28000 u zbulua nga studiuesi John Blackbourn dhe u raportua në Patchstack më 1 gusht. Për këtë zbulim ai mori një shpërblim prej 14,400 dollarësh. Bug-u është i pranishëm në versionet deri në 6.3.0.1.
LiteSpeed Cache mund të skanojë faqen tuaj për ruajtjen e faqeve, duke simuluar një përdorues të vërtetuar. Funksioni përdor mbrojtje hash, por përdoret një numër i rastësishëm midis 0 dhe 999,999. Nëpërmjet një sulmi me forcë brutale është e mundur të gjesh numrin dhe të hysh në sajt si administrator (i cili shpesh ka një ID të përdoruesit 1).
Me këto privilegje të ngritura është e mundur të instaloni shtojca të infektuara, të ndryshoni cilësimet, të ridrejtoni vizitorët në sajte të jashtme, të shpërndani malware dhe të vidhni të dhënat e përdoruesit. Patch u lëshua më 13 gusht me versionin 6.4. Prandaj, duhet të instaloni versionin më të fundit të LiteSpeed Cache.
Sipas statistikave zyrtare, aktualisht vetëm 30.4% e faqeve janë përditësuar, kështu që pothuajse 70% janë ende të pambrojtur. Ndoshta pronarët janë me pushime.
Discussion about this post