ClickCease 5 millions de sites web WordPress menacés par une faille dans le plugin LiteSpeed

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

5 millions de sites web WordPress menacés par une faille dans le plugin LiteSpeed

Wajahat Raja

Le 14 mars 2024 - L'équipe d'experts de TuxCare

Une faille très sensible a été identifiée dans le plugin LiteSpeed de WordPress, qui a mis en danger pas moins de 5 millions de sites web. Découvert par les experts en cybersécurité de Patchstackla faille du plugin faille du plugin LiteSpeed représente un risque important pour la sécurité des sites WordPress, car elle permet potentiellement à des personnes non autorisées d'accéder à des informations sensibles.

Cette révélation intervient quelques mois seulement après que WordPress a publié une mise à jour de une mise à jour de l'exécution de code critique afin de renforcer la sécurité de ses sites web. La faille du plugin faille du plugin LiteSpeed, identifiée sous le nom de CVE 2023-40000, permet aux acteurs des menaces de cybersécurité de procéder à une escalade des privilèges sur un site WordPress et de voler toutes les informations de leur choix, et ce, en envoyant une seule requête HTTP.

Dans cet article, nous allons approfondir ce problème de sécurité du plugin LiteSpeed. problème de sécurité du plugin LiteSpeed et voir quelles sont les mesures de sécurité WordPress ont été prises à cet égard.

 

Historique du plugin LiteSpeed Cache


Le plugin LiteSpeed, qui est un plugin d'accélération de site web, est l'un des plugins de coaching les plus populaires de WordPress. Il propose un certain nombre de fonctions d'optimisation pour les sites web WordPress et un cache au niveau du serveur. De plus, le plugin est compatible avec d'autres plugins, tels que WooCommerce. 


Détails de l'attaque de la faille du plugin LiteSpeed


Cette
faille du plugin LiteSpeed est identifiée par un problème de cross-site scripting (XSS) non autorisé et stocké sur l'ensemble du site, qui a également été trouvé dans le logiciel de messagerie électronique Zimbra Collaboration email software il y a quelques mois. La raison principale de cette vulnérabilité de sécurité du plugin LiteSpeedest liée à l'absence de vérification des entrées par les utilisateurs.

L'échappement de la sortie a également été attribué à cette défaut du plugin LiteSpeeden particulier dans la fonction update_cdn_status(). La fonction d'avis de l'administrateur est utilisée pour insérer la charge utile XSS (cross-site scripting). La faille du plugin faille du plugin LiteSpeed peut être déclenchée par n'importe quel utilisateur ayant accès à wp-admin.

En effet, les notifications de l'administrateur peuvent apparaître sur n'importe quel point de terminaison wp-admin. De plus, grâce à l'installation par défaut du plugin LiteSpeed, cette vulnérabilité de sécurité de WordPress peut être reproduite.  

Une faille XSS similaire a été signalée précédemment par WordPress. Par coïncidence, cette faille du plugin faille du plugin LiteSpeedCVE-2023-4372, était également due à l'absence de vérification de l'entrée de l'utilisateur et d'échappement de la sortie. La précédente vulnérabilité LiteSpeed a été corrigée dans la version 5.7 du correctif.


Correctif de sécurité pour le plugin LiteSpeed


Depuis la faille du plugin
faille du plugin LiteSpeed a été découverte, les développeurs de LiteSpeed Cache ont publié un correctif conseillant aux utilisateurs de mettre à jour leurs plugins vers la version 5.7.0.1 ou une version ultérieure. Le correctif a été publié afin d'empêcher les pirates potentiels d'accéder aux informations sensibles des utilisateurs de WordPress.

Le vendeur du plugin a construit une valeur HTML directement à partir du paramètre POST body et a ajouté une vérification de permission sur le paramètre update_cdn_status. Le correctif 5.7.0.1 est disponible depuis le octobre 2023 avec la dernière version du correctif de sécurité du plugin correctif de sécurité du plugin LiteSpeed est la version 6.1, qui a été publiée le 5 février 2024.


Conclusion 


Les menaces de cybersécurité se sont multipliées ces dernières années et les acteurs de la menace sont toujours à l'affût des failles de sécurité des différentes plateformes. WordPress, l'un des principaux créateurs de sites web, est toujours la cible des pirates. 

En effet, les acteurs de la menace de cybersécurité veulent voler des informations sensibles aux utilisateurs pour mener leurs campagnes malveillantes. Cela justifie des solutions de correctifs sécurisées et hautement fortifiées. solutions de correctifs afin que les vulnérabilités telles que la faille du plugin faille du plugin LiteSpeed ne réapparaissent pas.

Les sources de cet article comprennent des articles dans The Hacker News et TechRadar.

Résumé
5 millions de sites web WordPress menacés par une faille dans le plugin LiteSpeed
Nom de l'article
5 millions de sites web WordPress menacés par une faille dans le plugin LiteSpeed
Description
5 millions de sites web WordPress sont exposés à un risque de vol d'informations en raison de la faille du plugin LiteSpeed. Pour en savoir plus sur cette vulnérabilité, cliquez ici !
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information