آسیب پذیری موجود در افزونه LiteSpeed ​​Cache دسترسی مدیر را به خطر می اندازد

آسیب پذیری موجود در افزونه LiteSpeed ​​Cache دسترسی مدیر را به خطر می اندازد

یک آسیب‌پذیری در افزونه وردپرس LiteS،d ​​Cache کشف شده است که بیش از 6 میلیون نصب فعال دارد و به بازدیدکنندگان احراز هویت نشده اجازه می‌دهد تا با استفاده از یک آسیب‌پذیری در ویژگی شبیه‌سازی نقش افزونه، به سطح مدیریت دسترسی پیدا کنند. این نقص اجازه دسترسی غیرمجاز را می داد که می تواند منجر به نصب افزونه های م،ب شود.

افزونه LiteS،d ​​Cache به طور گسترده برای بهینه سازی سایت استفاده می شود و از افزونه های محبوب وردپرس مانند WooCommerce، bbPress و Yoast SEO پشتیب، می کند.

جزئیات آسیب پذیری ها و خطرات بهره برداری

طبق گفته تیم Patchstack، آسیب‌پذیری شناسایی‌شده از بررسی‌های هش امنیتی ضعیفی سوء استفاده می‌کند که می‌توانند تحت پیکربندی‌های مشخص شده توسط سرپرست، از جمله تنظیمات بالا زمان آپلود و محدودیت‌های آپلود در ویژگی ،نده افزونه، بازتولید شوند.

این آسیب‌پذیری که به‌،وان CVE-2024-50550 فهرست‌شده است، نگر،‌هایی را ایجاد کرده است، زیرا به راحتی می‌توان هش‌های فورس را به‌سادگی حذف کرد، بنابراین از بررسی‌های امنیتی کلیدی دور زد.

پیش نیازهای بازتولید این آسیب پذیری عبارتند از:

  • ویژگی ،نده را فعال کنید و مدت زمان کار را بین 2500-4000 ث،ه تنظیم کنید

  • محدودیت بار سرور را روی 0 تنظیم کنید

  • فعال ، شبیه سازی نقش برای کاربر، که دارای امتیازات سرپرست هستند

درباره آسیب‌پذیری‌های وردپرس بیشتر بخو،د: نقص مهم در افزونه LiteS،d ​​Cache، سایت‌های وردپرس را آشکار می‌کند

اقداماتی برای کاهش نقایص امنیتی

در پاسخ به این آسیب‌پذیری، تیم توسعه LiteS،d ​​ویژگی شبیه‌سازی نقش را حذف کرد و برای جلوگیری از تلاش‌های دسترسی غیرمجاز، تولید هش را بهبود بخشید.

آنها همچنین به Patchstack تأیید ،د که قصد دارند امنیت را با استفاده از مولدهای ارزش تصادفی قوی‌تر در به‌روزرس،‌های آینده، با هدف محافظت بهتر در برابر حملات brute force، بهبود بخشند.

Patchstack به کاربران LiteS،d ​​Cache توصیه کرد که برای کاهش این مشکل به نسخه 6.5.2 یا بالاتر به روز رس، کنند.

این شرکت گفت: «این آسیب‌پذیری اهمیت حیاتی اطمینان از استحکام و غیرقابل پیش‌بینی بودن مقادیری را که به‌،وان هش یا نقاط امنیتی استفاده می‌شوند، برجسته می‌کند». “هر ویژگی مربوط به شبیه سازی نقش یا سایر شبیه سازی های کاربر نیز باید با کنترل دسترسی من، محافظت شود.”

علاوه بر این، مدیران باید تنظیمات افزونه را بررسی کنند تا مطمئن شوند که تنظیماتی مانند زمان آپلود ،نده و محدودیت‌های آپلود برای امنیت بهینه شده‌اند.

منبع: https://www.infosecurity-magazine.com/news/lites،d-cache-plugin-flaw-admin/