Odkryto poważną lukę w zabezpieczeniach wtyczki LiteSpeed Cache dla WordPressa, która może umożliwić niezautoryzowanemu użytkownikowi zwiększenie uprawnień i wykonywanie złośliwych działań.
Luka w zabezpieczeniach oznaczona numerem CVE-2024-50550 (wynik CVSS: 8,1) została naprawiona w wersji 6.5.2 wtyczki. LiteSpeed Cache to popularna wtyczka przyspieszająca witryny dla WordPressa, która, jak sama nazwa wskazuje, oferuje zaawansowane funkcje buforowania i optymalizacji. Jest zainstalowana na ponad sześciu milionach witryn.
Według Patchstack nowo zidentyfikowany problem ma swoje źródło w funkcji o nazwie is_role_simulation i przypomina wcześniejszą lukę, która została publicznie udokumentowana w sierpniu 2024 r. ( CVE-2024-28000 , wynik CVSS: 9,8).
Problem wynika z użycia słabej kontroli skrótu zabezpieczającego, która może zostać złamana metodą siłową przez osobę nieuczciwą, co umożliwia nadużycie funkcji crawlera w celu symulowania zalogowanego użytkownika, w tym administratora.
Poprawka wprowadzona przez LiteSpeed usuwa proces symulacji ról i aktualizuje krok generowania skrótu przy użyciu generatora wartości losowych, aby uniknąć ograniczenia skrótów do 1 miliona możliwości.
CVE-2024-50550 to trzecia luka w zabezpieczeniach LiteSpeed ujawniona w ciągu ostatnich dwóch miesięcy. Pozostałe dwie to CVE-2024-44000 (wynik CVSS: 7,5) i CVE-2024-47374 (wynik CVSS: 7,2).
Rozwój nastąpił kilka tygodni po tym, jak Patchstack opisał dwie krytyczne wady w Ultimate Membership Pro, które mogą skutkować eskalacją uprawnień i wykonaniem kodu. Jednak niedociągnięcia te zostały naprawione w wersji 12.8 i nowszych.
CVE-2024-43240 (wynik CVSS: 9,4) – luka w zabezpieczeniach umożliwiająca nieautoryzowaną eskalację uprawnień, która może umożliwić atakującemu zarejestrowanie się na dowolnym poziomie członkostwa i uzyskanie przypisanej do niego roli
CVE-2024-43242 (wynik CVSS: 9,0) – luka w zabezpieczeniach umożliwiająca wstrzyknięcie nieuwierzytelnionego obiektu PHP, która może umożliwić atakującemu wykonanie dowolnego kodu.
Patchstack ostrzega również, że trwające spory prawne między Automattic, firmą macierzystą WordPressa, a WP Engine, skłoniły niektórych deweloperów do porzucenia repozytorium WordPress.org, co wymusiło na użytkownikach monitorowanie odpowiednich kanałów komunikacji, aby mieć pewność, że otrzymują najnowsze informacje o możliwych zamknięciach wtyczek i problemach z bezpieczeństwem.