Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

23 de agosto de 2024

Vulnerabilidade no LiteSpeed ameaça sites WordPress com escalonamento de privilégios

Compartilhe

Pesquisadores de segurança cibernética identificaram uma vulnerabilidade crítica no plugin LiteSpeed Cache para WordPress, amplamente utilizado por milhões de sites. Essa falha, catalogada como CVE-2024-28000, pode permitir que invasores não autenticados assumam o controle total de sites WordPress, obtendo privilégios de administrador. Com uma pontuação CVSS de 9,8, a gravidade dessa ameaça é altíssima e demanda atenção imediata.

Impacto da Vulnerabilidade

A falha afeta todas as versões do plugin anteriores à 6.4, lançada em 13 de agosto de 2024, incluindo a versão 6.3.0.1. O LiteSpeed Cache é um dos plugins de cache mais populares no ecossistema WordPress, com mais de cinco milhões de instalações ativas. Isso significa que um número significativo de sites está potencialmente exposto a essa ameaça.

A vulnerabilidade permite que um invasor não autenticado falsifique seu ID de usuário e se registre como um administrador do site. Com isso, o atacante ganha controle total sobre o site, podendo instalar plugins maliciosos e comprometer ainda mais a segurança do ambiente. Esse nível de acesso representa um risco elevado para a integridade do site e a privacidade dos dados dos usuários.

Origem da Vulnerabilidade

O problema está relacionado a um recurso de simulação de usuário no plugin, que utiliza um hash de segurança fraco. Esse hash é gerado a partir de um número aleatório baseado em microssegundos do tempo atual, o que o torna previsível. Além disso, o gerador de números aleatórios não é criptograficamente seguro, facilitando a exploração da falha.

Recomendações

A atualização para a versão 6.4 do LiteSpeed Cache é essencial para mitigar os riscos associados a essa vulnerabilidade. Administradores de sites WordPress devem agir imediatamente, aplicando a atualização para proteger seus sites contra possíveis ataques. A rápida implementação dessa medida é crucial para garantir a segurança dos sites e dos dados armazenados neles.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

vulnerabilidade wordpress seguro cyber

Publicado em: