Wordpress, attenzione al plugin LiteSpeed Cache: vulnerabilità grave per milioni di siti web

Wordpress, attenzione al plugin LiteSpeed Cache: vulnerabilità grave per milioni di siti web

La falla permette di ottenere i permessi di amministratore e prendere pieno controllo del sito, con le immaginabili conseguenze del caso. Un aggiornamento è già disponibile

di pubblicata il , alle 08:51 nel canale Sicurezza
WordPress
 

Il ricercatore di sicurezza informatica John Blackbourn ha individuato una vulnerabilità critica nel popolare plugin LiteSpeed Cache per WordPress che potrebbe mettere a rischio milioni di siti web. La falla, identificato come CVE-2024-28000, consente potenzialmente a qualsiasi visitatore non autenticato di ottenere permessi di amministratore, con le immaginabili conseguenze del caso.

LiteSpeed Cache è il plugin di "accelerazione" più diffuso nell'ecosistema WordPress con oltre 5 milioni di installazioni attive. La sua compatibilità con piattaforme come WooCommerce, bbPress, ClassicPress e Yoast SEO ne ha fatto uno strumento essenziale per molti webmaster e la sua estrema popolarità è ovviamente di interesse anche per i criminali informatici.

La vulnerabilità è stata segnalata attraverso il programma bug bounty di Patchstack il 1° agosto e si trova, nello specifico, nella funzionalità di simulazione utente del plugin. Il problema è causato da un controllo hash debole nelle versioni fino alla 6.3.0.1 inclusa.

Questo potrebbe, secondo Rafie Muhammad, ricercatore di sicurezza di Patchstack, permettere l'esecuzione di un attacco brute force in grado di consentire l'accesso non autorizzato in poche ore o, al massimo, in una settimana. "L'unico prerequisito è conoscere l'ID di un utente di livello amministratore," spiega Muhammad, aggiungendo che in molti casi l'ID utente 1 potrebbe essere sufficiente.

Un attacco condotto con successo potrebbe portare ad ogni genere di conseguenze nefaste: l'installazione di plugin malevoli, la modifica di impostazioni critiche, il dirottamento del traffico verso siti dannosi, la distribuzione di malware ai visitatori o il furto di dati sensibili degli utenti.

Il team di sviluppo di LiteSpeed ha rilasciato una patch correttiva con la versione 6.4 del plugin lo scorso 13 agosto, ma osservando le statistiche di download dal catalogo dei plugin di WordPress si evince che più della metà dei siti che fanno uso di LiteSpeed Cache usano versioni ancora vulnerabili.

Ovviamente il suggerimento, per tutti coloro i quali si trovano a gestire, anche solo a livello amatoriale, un sito web WordPress che fa uso del plugin LiteSpeed Cache, di installare la patch di aggiornamento all'ultima versione e, laddove possibile, attivare gli aggiornamenti automatici dei plugin.

I migliori sconti su Amazon oggi

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

29.99 Compra ora
-14%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 992.99 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^