Hot News
Outra vulnerabilidade foi descoberta no plugin LiteSpeed Cache WordPress — uma Escalação de Privilégios Não Autenticados que pode levar a uma tomada de controle total do site. Infelizmente, atualizar para a versão mais recente do plugin pode não ser suficiente para resolver o problema.
Plug-in de cache LiteSpeed
O LiteSpeed Cache Plugin é um plugin de otimização de desempenho de site que tem mais de 6 milhões de instalações. Um plugin de cache armazena uma cópia estática dos dados usados para criar uma página da web para que o servidor não tenha que buscar repetidamente os mesmos elementos de página do banco de dados toda vez que um navegador solicita uma página da web.
Armazenar a página em um “cache” reduz a carga do servidor e acelera o tempo que leva para entregar uma página da web a um navegador ou rastreador.
O LiteSpeed Cache também faz outras otimizações de velocidade de página, como compactar arquivos CSS e JavaScript (minificação), coloca o CSS mais importante para renderizar uma página no próprio código HTML (CSS embutido) e outras otimizações que, juntas, tornam um site mais rápido.
Escalonamento de privilégios não autenticados
Uma escalada de privilégios não autenticada é um tipo de vulnerabilidade que permite que um hacker obtenha privilégios de acesso ao site sem precisar fazer login como usuário. Isso torna mais fácil hackear um site em comparação a uma vulnerabilidade autenticada que exige que um hacker primeiro obtenha um certo nível de privilégio antes de poder executar o ataque.
A escalada de privilégios não autenticada geralmente ocorre devido a uma falha em um plugin (ou tema) e, neste caso, é um vazamento de dados.
A Patchstack, empresa de segurança que descobriu a vulnerabilidade, escreve que ela só pode ser explorada sob duas condições:
“Recurso de log de depuração ativo no plugin LiteSpeed Cache.
Ativou o recurso de log de depuração uma vez antes (não está ativo no momento) e o arquivo /wp-content/debug.log não foi expurgado ou removido.”
Descoberto por Patchstack
A vulnerabilidade foi descoberta por pesquisadores da empresa de segurança Patchstack WordPress, que oferece um serviço gratuito de alerta de vulnerabilidade e proteção avançada por apenas US$ 5/mês.
Oliver Sild, fundador do Patchstack, explicou ao Search Engine Journal como essa vulnerabilidade foi descoberta e alertou que atualizar o plugin não é suficiente, que o usuário ainda precisa limpar manualmente seus logs de depuração.
Ele compartilhou esses detalhes sobre a vulnerabilidade:
“Foi descoberto por nosso pesquisador interno depois que processamos a vulnerabilidade de algumas semanas atrás.
Uma coisa importante a ter em mente com essa nova vulnerabilidade é que, mesmo quando ela for corrigida, os usuários ainda precisam limpar seus logs de depuração manualmente. Também é um bom lembrete para não manter o modo de depuração habilitado na produção.”
Curso de ação recomendado
O Patchstack recomenda que os usuários do plugin LiteSpeed Cache WordPress atualizem pelo menos para a versão 6.5.0.1.
Leia o aviso no Patchstack:
Vulnerabilidade crítica de aquisição de conta corrigida no plugin LiteSpeed Cache
Imagem em destaque por Shutterstock/Teguh Mujiono
Siga-nos nas redes sociais:
Hotnews.pt |
Facebook |
Instagram |
Telegram
#hotnews #noticias #tecnologia #AtualizaçõesDiárias #SigaHotnews #FiquePorDentro #ÚltimasNotícias #InformaçãoAtual