1. TugaTech » Software » Noticias de Software » Falha em plugin LiteSpeed Cache deixa 6 milhões de sites WordPress vulneráveis
  Login     Registar    |                      
Siga-nos

Você não está conectado. Conecte-se ou registre-se

TugaTech » Software » Noticias de Software » Falha em plugin LiteSpeed Cache deixa 6 milhões de sites WordPress vulneráveis » Nova mensagem

Responder

Guia do BBcode

  

Opções



Mensagens anteriores

Falha em plugin LiteSpeed Cache deixa 6 milhões de sites WordPress vulneráveis em Qui 5 Set 2024 - 19:17

DJPRMF

Wordpress com bug

Os utilizadores de sites WordPress devem ficar atentos a uma nova vulnerabilidade, descoberta no plugin de cache LiteSpeed Cache – a segunda falha do mesmo género descoberta neste plugin em apenas algumas semanas.

A falha pode ter exposto mais de 6 milhões de sites a ataques, com a capacidade de os atacantes terem total controlo sobre os mesmos e os seus conteúdos. Esta falha foi originalmente descoberta a 22 de Agosto de 2024, tendo sido corrigida com a versão 6.5.0.1 que foi lançada durante o dia de ontem.

A falha encontra-se associada com a funcionalidade de debug do plugin. Esta é capaz de registar todos os pedidos HTTP feitos ao site, e registar informações usando cookies no site. No entanto, se os atacantes obtiverem acesso a este cookie, podem também ter capacidade de realizar vários comandos dentro do site associado ao mesmo – o que inclui aceder com capacidades administrativas ao WordPress.

imagem banner do litespeed cache

Tudo o que o atacante necessita é de obter acesso ao ficheiro /wp-content/debug.log, que caso não tenham sido aplicadas regras de proteção para prevenir tal acesso, pode ser feito apenas acedendo diretamente ao link nos sites com o plugin instalado e a funcionalidade ativa.

Depois da falha ter sido descoberta, os criadores do plugin decidiram aplicar algumas medidas para evitar a exploração, entre as quais a mudança do ficheiro de debug para a raiz da pasta do plugin – que se encontra protegida – além de integrar um sistema de criação aleatória de nomes para os ficheiros de um ficheiro de página inicial padrão para evitar o acesso direto à pasta.

Os utilizadores que tenham usado esta funcionalidade do plugin de cache devem, além de atualizar o mesmo para a versão mais recente agora disponível, também devem remover os ficheiros debug.log antigos, que podem ter sido criados caso a funcionalidade de debug tenha sido usada.

Os dados da plataforma do WordPress indicam que a versão mais recente foi descarregada cerca de 375,000 de vezes, o que deixa ainda mais de 5.6 milhões de sites potencialmente abertos a ataques. Agora que a falha é publicamente conhecida, é provável que venha a ser ativamente usada para ataques.



  As mensagens apresentadas em cima não são actualizadas automaticamente pelo que se uma nova mensagem for colocada enquanto se encontra nesta página, não irá aparecer na lista em cima.


Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech