Еще одна уязвимость была обнаружена в плагине LiteSpeed ​​Cache WordPress — неаутентифицированное повышение привилегий, которое может привести к полному захвату сайта. К сожалению, обновление до последней версии плагина может оказаться недостаточным для решения проблемы.

Плагин кэширования LiteSpeed

Плагин кэширования LiteSpeed ​​— это плагин для оптимизации производительности веб-сайта, который установлен более 6 миллионов раз. Плагин кэширования хранит статическую копию данных, используемых для создания веб-страницы, чтобы серверу не приходилось повторно извлекать одни и те же элементы страницы из базы данных каждый раз, когда браузер запрашивает веб-страницу.

Сохранение страницы в «кеше» снижает нагрузку на сервер и ускоряет доставку веб-страницы браузеру или поисковому роботу.

LiteSpeed ​​Cache также выполняет другие оптимизации скорости загрузки страниц, такие как сжатие файлов CSS и JavaScript (минификация), размещение наиболее важных CSS для рендеринга страницы в самом HTML-коде (встроенный CSS) и другие оптимизации, которые в совокупности ускоряют работу сайта.

Неаутентифицированное повышение привилегий

Неаутентифицированное повышение привилегий — это тип уязвимости, который позволяет хакеру получить привилегии доступа к сайту без необходимости входа в систему как пользователь. Это упрощает взлом сайта по сравнению с аутентифицированной уязвимостью, которая требует от хакера сначала получить определенный уровень привилегий, прежде чем он сможет выполнить атаку.

Неаутентифицированное повышение привилегий обычно происходит из-за уязвимости плагина (или темы), и в данном случае это утечка данных.

Компания Patchstack, занимающаяся безопасностью и обнаружившая уязвимость, пишет, что эксплуатация уязвимости возможна только при соблюдении двух условий:

«Функция активного журнала отладки в плагине LiteSpeed ​​Cache.

Функция журнала отладки уже была активирована ранее (сейчас не активна), и файл /wp-content/debug.log не был очищен или удален».

Обнаружено Patchstack

Уязвимость была обнаружена исследователями компании Patchstack WordPress Security, которая предлагает бесплатную услугу предупреждения об уязвимостях и расширенную защиту всего за 5 долларов в месяц.

ЧИТАТЬ  Посмотрите, как компания Blue Origin запускает ракетный двигатель нового поколения BE-4 | Цифровые тенденции

Оливер Силд, основатель Patchstack, объяснил Search Engine Journal, как была обнаружена эта уязвимость, и предупредил, что обновления плагина недостаточно, и пользователю все равно необходимо вручную очищать свои журналы отладки.

Он поделился следующими подробностями об уязвимости:

«Это было обнаружено нашим внутренним исследователем после того, как мы обработали уязвимость несколько недель назад.

Важно помнить об этой новой уязвимости: даже если она будет исправлена, пользователям все равно придется вручную очищать журналы отладки. Это также хорошее напоминание о том, что не следует оставлять режим отладки включенным в производстве».

Рекомендуемый курс действий

Patchstack рекомендует пользователям плагина LiteSpeed ​​Cache WordPress обновить его как минимум до версии 6.5.0.1.

Ознакомьтесь с рекомендациями на сайте Patchstack:

Исправлена ​​критическая уязвимость захвата аккаунта в плагине кэширования LiteSpeed

Главное изображение от Shutterstock/Teguh Mujiono



Source link