Ваш сайт на WordPress под угрозой: уязвимость плагина открывает двери хакерам

Исследователи кибербезопасности выявили серьезную уязвимость в плагине LiteSpeed Cache для WordPress, которая позволяет непроверенным пользователям получать административные права. Ошибка, получившая обозначение CVE-2024-28000 с высоким уровнем угрозы (CVSS 9.8), уже исправлена в версии плагина 6.4, выпущенной 13 августа 2024 года.

Уязвимость затрагивает все версии плагина до 6.3.0.1 включительно. Она позволяет атакующим манипулировать идентификатором пользователя, что дает возможность регистрации с административными привилегиями. Проблема связана с функцией имитации пользователя, использующей слабо защищенный хеш-код. Генератор случайных чисел, лежащий в основе хеш-функции, опирается на микросекунды текущего времени и не является криптографически защищенным, что делает возможным угадывание хеш-кода.

Разработчики WordPress на Windows могут не беспокоиться о данной уязвимости, так как она не влияет на Windows-системы из-за особенностей генерации хеша.

Пользователям всех других систем рекомендуется незамедлительно обновиться до последней версии плагина, чтобы предотвратить возможные атаки.