Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
5 millones de sitios web WordPress en peligro por un fallo del plugin LiteSpeed
Wajahat Raja
14 de marzo de 2024 - Equipo de expertos TuxCare
Se ha identificado un fallo altamente sensible en el plugin LiteSpeed de WordPress, que ha puesto en peligro nada menos que 5 millones de sitios web. Descubierto por los expertos en ciberseguridad de Patchstackel fallo del plugin LiteSpeed es un gran riesgo para la seguridad de los sitios de WordPress porque potencialmente permite que personal no autorizado acceda a información sensible.
Esta revelación se produce apenas un par de meses después de que WordPress publicara una actualización de ejecución de código crítico para mejorar la seguridad de sus sitios web. El fallo del plugin LiteSpeed que ha sido identificado como CVE 2023-40000, permite a los actores de amenazas de ciberseguridad realizar una escalada de privilegios en un sitio de WordPress y robar cualquier información de su elección, también mediante el envío de una sola petición HTTP.
En este artículo, profundizaremos en este problema de seguridad del plugin de LiteSpeed y veremos qué medidas de seguridad de WordPress se han tomado al respecto.
Antecedentes del plugin LiteSpeed Cache
El plugin LiteSpeed, que es un plugin de aceleración de sitios web, es uno de los plugins de entrenamiento más populares de WordPress. Cuenta con una serie de diferentes características de optimización para sitios web de WordPress y una caché a nivel de servidor. No sólo esto, el plugin es compatible con otros plugins, así, como WooCommerce.
Detalles del ataque al plugin LiteSpeed
Este fallo del plugin de LiteSpeed se identifica por un problema de cross-site scripting (XSS) no autorizado almacenado en todo el sitio, que también se encontró en software de correo electrónico Zimbra Collaboration hace unos meses. La razón principal de esta vulnerabilidad de seguridad del plugin LiteSpeedy está vinculada a la falta de sanitización de entrada por parte de los usuarios.
La salida de escape también se ha atribuido a este fallo del plugin LiteSpeedespecialmente en el método update_cdn_status(). La función de notificación al administrador se utiliza para insertar la carga útil de secuencias de comandos en sitios cruzados (XSS). El fallo del plugin LiteSpeed puede ser activado por cualquier usuario que tenga acceso al wp-admin.
Esto se debe a que los avisos de admin pueden aparecer en cualquier endpoint de wp-admin. Además, a través de la instalación por defecto del plugin LiteSpeed, se puede reproducir esta vulnerabilidad de seguridad de WordPress.
Un fallo XSS similar ha sido reportado anteriormente por WordPress. Coincidentemente, ese plugin de LiteSpeedque se denominó CVE-2023-4372, también se debió a la falta de desinfección de la entrada del usuario y de escape de la salida. La anterior vulnerabilidad de LiteSpeed se solucionó en la versión 5.7 del parche.
Parche de seguridad del plugin LiteSpeed
Desde el fallo del plugin de LiteSpeed los desarrolladores de LiteSpeed Cache han publicado un parche aconsejando a los usuarios que actualicen sus plugins a la versión 5.7.0.1 o posterior. El parche se ha publicado para evitar que posibles piratas informáticos accedan a información confidencial de los usuarios de WordPress.
El proveedor del plugin construyó un valor HTML directamente a partir del parámetro POST body y añadió una comprobación de permisos en update_cdn_status. El parche 5.7.0.1 está disponible desde octubre de 2023 con la última versión del parche de seguridad del plugin LiteSpeed es la 6.1, que se publicó el 5 de febrero de 2024.
Conclusión
Las amenazas a la ciberseguridad se han multiplicado en los últimos años, y los actores de las amenazas están siempre al acecho de las vulnerabilidades de seguridad de las diferentes plataformas. WordPress, uno de los principales creadores de sitios web, es siempre el objetivo de los hackers.
Esto se debe a que los actores de amenazas de ciberseguridad quieren robar información sensible de los usuarios para ejecutar sus campañas maliciosas. Esto justifica soluciones de soluciones de parcheo para que vulnerabilidades como el fallo del plugin LiteSpeed no vuelvan a aparecer.
Las fuentes de este artículo incluyen artículos en The Hacker News y TechRadar.
