Μια ευπάθεια στο WordPress plugin LiteSpeed Cache θα μπορούσε να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν προνόμια σε ευάλωτα sites.
Η ευπάθεια παρακολουθείται ως CVE-2023-40000 και αντιμετωπίστηκε τον Οκτώβριο του 2023 με την έκδοση 5.7.0.1.
Σύμφωνα με τον ερευνητή της Patchstack, Rafie Muhammad, πρόκειται για μια cross-site scripting ευπάθεια που θα μπορούσε να επιτρέψει σε οποιονδήποτε μη πιστοποιημένο χρήστη να κλέψει ευαίσθητες πληροφορίες και να αποκτήσει περισσότερα προνόμια σε ευάλωτα WordPress sites, εκτελώντας ένα μόνο αίτημα HTTP.
Δείτε επίσης: Ultimate Member: Κρίσιμη ευπάθεια στο WordPress plugin
Το LiteSpeed Cache είναι ένα plugin που χρησιμοποιείται για τη βελτίωση της απόδοσης του ιστότοπου και έχει περισσότερες από πέντε εκατομμύρια εγκαταστάσεις. Η πιο πρόσφατη έκδοση του plugin είναι η έκδοση 6.1, η οποία κυκλοφόρησε στις 5 Φεβρουαρίου 2024.
Η ευπάθεια προκύπτει από user input sanitization και escaping output. Η ευπάθεια βρίσκεται σε ένα function με το όνομα update_cdn_status() και μπορεί να αναπαραχθεί σε μια προεπιλεγμένη εγκατάσταση.
“Δεδομένου ότι το XSS payload εμφανίζεται ως admin notice και το admin notice θα μπορούσε να εμφανιστεί σε οποιοδήποτε wp-admin endpoint, αυτή η ευπάθεια θα μπορούσε επίσης να ενεργοποιηθεί εύκολα από οποιονδήποτε χρήστη που έχει πρόσβαση στην περιοχή wp-admin“, είπε ο ερευνητής.
Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο Bricks Builder WordPress Theme
Μερικούς μήνες πριν, είχε ανακαλυφθεί και άλλη μια ευπάθεια στο WordPress plugin LiteSpeed Cache, που ήταν παρόμοια με το νέο bug. Αντιμετωπίστηκε στην έκδοση 5.7.
Σημασία προστασίας WordPress
Η προστασία των ιστοσελίδων WordPress είναι ιδιαίτερα σημαντική για πολλούς λόγους. Αρχικά, οι ιστότοποι WordPress είναι πολύ δημοφιλείς, που σημαίνει ότι αποτελούν βασικό στόχο για τους κυβερνοεγκληματίες. Αν ο ιστότοπός σας δεν είναι προστατευμένος, μπορεί να προκληθεί σημαντική ζημιά.
Επιπρόσθετα, ένα μη προστατευόμενο site WordPress μπορεί να υπονομεύσει την εμπιστοσύνη και την αξιοπιστία που έχετε δημιουργήσει με τους πελάτες σας. Εάν τα δεδομένα τους υποκλαπούν, είναι πολύ πιθανό να προσφύγουν νομικά εναντίον σας και να στραφούν σε άλλες εταιρείες.
Δείτε επίσης: Το Balada Injector Malware έχει μολύνει 6,700 WordPress sites
Η προστασία του ιστοτόπου σας είναι επίσης σημαντική για τη διατήρηση της συνοχής και της αξιοπιστίας του περιεχομένου σας. Αν ένας hacker παραβιάσει τον ιστότοπό σας και αλλοιώσει το περιεχόμενο, μπορεί να προκληθεί η εντύπωση ότι δεν ασχολείστε αρκετά με τον ιστότοπό σας.
Με άλλα λόγια, η εξασφάλιση της προστασίας του ιστοτόπου WordPress δεν είναι απλά θέμα προστασίας των δεδομένων σας – είναι θέμα διατήρησης της εμπιστοσύνης των πελατών σας, συντήρησης της φήμης της εταιρείας σας και παραμονής στην κορυφή του ανταγωνισμού.
Πηγή: thehackernews.com
