Критична уязвимост в популярен плъгин за WordPress позволява кражба на акаунти

Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

• проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
• задайте правило .htaccess, за да се забрани директният достъп до log файла.