Уязвимость плагина кэширования WordPress затронула более 5 миллионов веб-сайтов • Продвижение Web 2.0

До 5 миллионов установок плагина LiteSpeed Cache WordPress уязвимы для эксплойта, который позволяет хакерам получить права администратора и загружать вредоносные файлы и плагины.

Первой об уязвимости сообщила компания Patchstack, занимающаяся безопасностью WordPress. Она уведомила разработчика плагина и дождалась исправления уязвимости, прежде чем сделать публичное заявление.

Основатель Patchstack Оливер Силд обсудил этот вопрос с Search Engine Journal и предоставил справочную информацию о том, как была обнаружена уязвимость и насколько она серьезна.

Сильд поделился:

«О нем сообщили через программу Patchstack WordPress Bug Bounty, которая предлагает вознаграждения исследователям безопасности, сообщающим об уязвимостях. Отчет соответствовал требованиям вознаграждения в размере 14 400 долларов США. Мы работаем напрямую как с исследователем, так и с разработчиком плагина, чтобы гарантировать, что уязвимости будут должным образом исправлены до их публичного раскрытия.

Мы отслеживали экосистему WordPress на предмет возможных попыток эксплуатации с начала августа, и пока признаков массовой эксплуатации не обнаружено. Но мы ожидаем, что вскоре это будет эксплуатироваться».

На вопрос, насколько серьезна эта уязвимость, Силд ответил:

«Это критическая уязвимость, которая особенно опасна из-за большой базы установок. Хакеры определенно изучают ее, пока мы говорим».

Что стало причиной уязвимости?

По данным Patchstack, взлом произошел из-за функции плагина, которая создает временного пользователя, который сканирует сайт, чтобы затем создать кэш веб-страниц. Кэш — это копия ресурсов веб-страницы, которая хранится и доставляется браузерам, когда они запрашивают веб-страницу. Кэш ускоряет веб-страницы, сокращая количество раз, которое сервер должен извлекать из базы данных для обслуживания веб-страниц.

Техническое объяснение от Patchstack:

«Уязвимость использует функцию имитации пользователя в плагине, которая защищена слабым хэшем безопасности, использующим известные значения.

…К сожалению, эта генерация хэша безопасности страдает от нескольких проблем, которые делают его возможные значения известными».

Рекомендация

Пользователям плагина LiteSpeed WordPress рекомендуется немедленно обновить свои сайты, поскольку хакеры могут охотиться за сайтами WordPress, чтобы эксплуатировать их. Уязвимость была исправлена в версии 6.4.1 19 августа.

ЧИТАТЬ 15 лучших веб-сайтов, где можно рассказать о вашем бизнесе

Пользователи решения безопасности WordPress Patchstack получают мгновенное устранение уязвимостей. Patchstack доступен в бесплатной версии, а платная версия стоит всего $5/месяц.

Подробнее об уязвимости читайте:

Критическое повышение привилегий в плагине LiteSpeed Cache затронуло более 5 миллионов сайтов

Главное изображение от Shutterstock/Asier Romero

Source link