Vulnerabilitatea pluginului LiteSpeed ​​Cache expune milioane de site-uri WordPress

Vulnerabilitatea pluginului LiteSpeed ​​Cache expune milioane de site-uri WordPress

 

O vulnerabilitate din popularul plugin LiteSpeed ​​Cache pentru WordPress ar putea permite atacatorilor să recupereze module cookie ale utilizatorilor și, eventual, să preia site-uri web.

Problema, urmărită ca CVE-2024-44000, există deoarece pluginul poate include antetul de răspuns HTTP pentru set-cookie în fișierul jurnal de depanare după o solicitare de conectare.

Deoarece fișierul jurnal de depanare este accesibil public, un atacator neautentificat ar putea accesa informațiile expuse în fișier și poate extrage orice cookie-uri de utilizator stocate în acesta.

Acest lucru ar permite atacatorilor să se conecteze la site-urile web afectate ca orice utilizator pentru care cookie-ul de sesiune a fost scurs, inclusiv ca administratori, ceea ce ar putea duce la preluarea site-ului.

Patchstack, care a identificat și raportat defectul de securitate, consideră defectul „critic” și avertizează că are impact asupra oricărui site web care a avut funcția de depanare activată cel puțin o dată, dacă fișierul jurnal de depanare nu a fost curățat.

În plus, compania de detectare a vulnerabilităților și de gestionare a corecțiilor subliniază că pluginul are și o setare Log Cookies care ar putea, de asemenea, să scurgă cookie-urile de conectare ale utilizatorilor dacă este activată.

Vulnerabilitatea este declanșată numai dacă funcția de depanare este activată. În mod implicit, însă, depanarea este dezactivată, notează firma de securitate WordPress Defiant .

 

Defectul

Pentru a rezolva defectul, echipa LiteSpeed ​​a mutat fișierul jurnal de depanare în folderul individual al pluginului, a implementat un șir aleator pentru numele fișierelor de jurnal, a renunțat la opțiunea Cookie-uri de jurnal, a eliminat informațiile legate de cookie-uri din antetele răspunsurilor și a adăugat un index fals. php din directorul de depanare.

„Această vulnerabilitate evidențiază importanța critică a asigurării securității efectuării unui proces de jurnal de depanare, ce date nu trebuie înregistrate și modul în care este gestionat fișierul jurnal de depanare. În general, nu recomandăm un plugin sau o temă pentru a înregistra datele sensibile legate de autentificare în fișierul jurnal de depanare”, notează Patchstack.

CVE-2024-44000 a fost rezolvat pe 4 septembrie odată cu lansarea LiteSpeed ​​Cache versiunea 6.5.0.1, dar milioane de site-uri web ar putea fi încă afectate.

Conform statisticilor WordPress , pluginul a fost descărcat de aproximativ 1,5 milioane de ori în ultimele două zile. Având în vedere că LiteSpeed ​​Cache are peste șase milioane de instalări, se pare că aproximativ 4,5 milioane de site-uri web ar trebui să fie corectate împotriva acestei erori.

Un plugin all-in-one de accelerare a site-ului, LiteSpeed ​​Cache oferă administratorilor de site-uri cache la nivel de server și diverse funcții de optimizare.

Sursa: Ionut Arghire, corespondent international pentru SecurityWeek

Abonamentele SEO:

Bronz minimal de la 200 Euro (2 ore/luna) 

Silver minimal de la 350 Euro ( 4 ore/luna). *Se ofera factura si contract pe minim 6 luni, nu sunt platitor de TVA.

Web design, realizare site pret:

Realizare site de prezentare 15 pagini cu contract suport 6 luni 700 Euro (15 ore)

Realizare site de prezentare si componenta catalog produse cu contract suport 6 luni 1800 Euro (25 ore)

Realizare site de prezentare si componenta magazin online cu contract suport 6 luni 2900 Euro (35 ore)

Ultimile proiecte

Primaria Hudesti Botosani,  Echipamente industriale pentru ¨sudura plastic¨, Scoala Postliceala "Christiana" Pitesti - Statie de betoane Try Grup cu ¨betoane¨, Centrul de Pregătire și Perfecționare Profesională al Inspecției Muncii Botosani,   DryveCom cu ¨mobilier¨ - Producator elemente de transmisii mecanice, frane de siguranta pentru ¨cuplaje elastice¨ Producator de lenjerie de pat si cearceafuri Bucuresti optimizare pentru ¨cearceafuri Bucuresti¨. Promvare servicii de curatenie Constanta - Mio Cleaning Curatenie la domiciliu Contanta - Finantare fotovoltaice prin programul Casa Verde - panouri fotovoltaice

| Creare Site Scoala Gimnaziala | Realizare Site Scoala Gimnaziala | Realizare Site Gradinita | Realizare Site Primarie | Realizare Site primarie si institutii |