Новая уязвимость кэша LiteSpeed ​​ставит под угрозу 6 миллионов сайтов

Новая уязвимость кэша LiteSpeed ​​ставит под угрозу 6 миллионов сайтов

Как опытный специалист по цифровому маркетингу с более чем десятилетним опытом работы за плечами, я не могу переоценить важность поддержания безопасности наших сайтов WordPress, особенно когда речь идет о таких плагинах, как LiteSpeed ​​Cache. Недавнее обнаружение уязвимости, связанной с повышением привилегий без аутентификации, в этом плагине является суровым напоминанием о том, что ни один сайт не застрахован от потенциальных угроз.


В плагине LiteSpeed ​​Cache для WordPress была обнаружена новая проблема безопасности: это недостаток неаутентифицированного повышения привилегий, который потенциально обеспечивает полный контроль над веб-сайтом (захват сайта). К сожалению, простое обновление до самой последней версии плагина может не полностью решить эту проблему.

Плагин LiteSpeed ​​Cache

LiteSpeed ​​Cache Tool — полезный плагин, предназначенный для повышения скорости и эффективности веб-сайта. Он может похвастаться более чем 6 миллионами активных установок. Этот плагин работает путем создания предварительно созданной версии данных, необходимых для создания веб-страницы, что позволяет серверу избежать повторной выборки одних и тех же компонентов страницы из базы данных каждый раз, когда браузер запрашивает веб-страницу.

Хранение страницы во «временном хранилище» (или кеше) помогает снизить нагрузку на сервер, ускоряя отправку веб-страницы в браузер или поисковому роботу, тем самым повышая общую производительность и эффективность.

LiteSpeed ​​Cache также выполняет другие оптимизации скорости страницы, такие как сжатие файлов CSS и JavaScript (минимизация), помещает наиболее важный CSS для рендеринга страницы в сам HTML-код (встроенный CSS) и другие оптимизации, которые вместе делают сайт быстрее.

Повышение привилегий без аутентификации

Повышение привилегий без аутентификации — это тип уязвимости безопасности, которая позволяет неавторизованному пользователю (например, хакеру) получить доступ более высокого уровня на веб-сайте без необходимости входа в систему как зарегистрированный пользователь. Это упрощает взлом сайта по сравнению с уязвимостью с аутентификацией, когда хакер сначала должен получить определенный уровень привилегий, прежде чем начать атаку.

Проще говоря, несанкционированное повышение привилегий обычно происходит из-за ошибки в надстройке или шаблоне дизайна, а в данном случае это приводит к утечке данных.

По словам Patchstack, охранной фирмы, которая обнаружила проблему, уязвимостью можно эффективно воспользоваться всего лишь при двух конкретных обстоятельствах:

«Функция активного журнала отладки в плагине LiteSpeed ​​Cache.

Ранее функция журнала отладки была включена, но в данный момент она неактивна, а файл debug.log в каталоге /wp-content/ не был очищен или удален

Обнаружено Patchstack

Уязвимость была обнаружена исследователями из компании Patchstack WordPress, которая предлагает бесплатную услугу предупреждения об уязвимостях и расширенную защиту всего за 5 долларов в месяц.

Проще говоря, Оливер Силд, основатель Patchstack, поделился с Search Engine Journal своими мыслями о том, как они обнаружили эту уязвимость. Он подчеркнул, что простое обновление плагина не гарантирует полной защиты; пользователям также необходимо вручную очистить журналы отладки для обеспечения полной безопасности.

«Она была обнаружена нашим внутренним исследователем после того, как мы обработали уязвимость, обнаруженную несколько недель назад.

При использовании этой новой уязвимости важно помнить, что даже после ее исправления пользователям все равно придется очищать свои журналы отладки вручную. Это также хорошее напоминание о том, что не следует включать режим отладки в рабочей среде».

Рекомендуемый курс действий

Согласно Patchstack, пользователям плагина LiteSpeed ​​Cache WordPress рекомендуется обновить свое программное обеспечение до версии 6.5.0.1 или более поздней версии.

Прочитайте рекомендации на сайте Patchstack:

Критическая уязвимость захвата учетной записи исправлена ​​в плагине LiteSpeed ​​Cache

Смотрите также

2024-09-05 22:09