5 миллионов сайтов на грани взлома из-за LiteSpeed Cache

Безопасный VPN через Телеграмм – обойди все блокировки:

Критическая ошибка в популярном плагине отбирает сайты у владельцев.

Специалисты PatchStack обнаружили критическую уязвимость в плагине LiteSpeed Cache для WordPress, которая позволяет получить права администратора на сайте. Ошибка потенциально затрагивает более 5 миллионов сайтов, использующих данных плагин. К отчету PatchStack также присоединилась компания Wordfence, которая выпустила собственное предупреждение об уязвимости.

LiteSpeed Cache — популярный плагин кэширования для WordPress, имеющий более 5 миллионов активных установок. Ошибка затрагивает все версии плагина до версии 6.4 включительно, обновление которой было выпущено 13 августа. Пользователям настоятельно рекомендуется как можно скорее обновить плагин до последней версии (6.4.1), чтобы избежать потенциальных атак.

Купи VPN в России за минуту через наш Телеграмм-бот:

Уязвимость повышения привилегий CVE-2024-28000 (оценка CVSS: 9.8) позволяет неавторизованному злоумышленнику получить доступ уровня администратора, что даёт возможность загружать и устанавливать вредоносные плагины. Киберпреступник может подделать идентификатор пользователя и зарегистрироваться в системе с правами администратора, используя REST API /wp-json/wp/v2/users. Такие действия приводят к получению полного контроля над уязвимым сайтом.

Проблема заключается в том, что функция симуляции пользователя в плагине использует слабый хэш. Этот хэш генерируется на основе случайного числа, которое легко предсказать, так как оно зависит от времени с точностью до микросекунд. В результате существует всего миллион возможных значений хэша. Кроме того, генератор случайных чисел не является надёжным с точки зрения криптографии, и хэш не защищён дополнительными мерами, такими как соление или привязка к конкретному запросу или пользователю.

Стоит отметить, что уязвимость не может быть использована на WordPress-сайтах, работающих на платформе Windows, так как функция генерации хэша зависит от метода PHP sys_getloadavg(), который не реализован в Windows.

  Неодим: ключ к разгадке ресурсного будущего Земли

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх