Fecha de publicación: Jue, 29/08/2024 - 19:07

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

El complemento LiteSpeed Cache para WordPress (LSCWP), conocido por ser una solución integral de aceleración de sitios con un exclusivo caché a nivel de servidor y diversas funciones de optimización, presenta una vulnerabilidad de escalada de privilegios que permite a usuarios no autenticados obtener acceso de nivel administrador a un sitio de WordPress. La vulnerabilidad, identificada como CVE-2024-28000 con puntaje 9.8 por su criticidad, se debe a un hash de seguridad débil y predecible utilizado en la función de simulación de usuario del complemento. Un atacante puede aprovechar esta debilidad al forzar el hash y utilizarlo en una cookie junto con un ID de usuario específico para escalar sus privilegios. Si se explota con éxito, la vulnerabilidad permite a los atacantes obtener acceso de administrador, lo que podría llevar a un control total del sitio WordPress afectado.

Las versiones del complemento LiteSpeed Cache anteriores a la 6.4 son vulnerables. Se recomienda a los usuarios del complemento LiteSpeed Cache actualizar a la versión 6.4 o posterior para mitigar esta vulnerabilidad. Además, se debe revisar la configuración de seguridad del sitio y considerar la implementación de medidas adicionales para proteger el acceso de administración.

Recursos afectados

LiteSpeed Cache versiones <= 6.3.0.1

Solución/Mitigación

Se recomienda actualizar el complemento a la versión 6.4 o posterior para mitigar esta vulnerabilidad. Además, es aconsejable revisar la configuración de seguridad del sitio.

Recomendaciones

  • Actualizar a la versión 6.4 o superior del complemento LiteSpeed Cache.
  • Revisar y reforzar la seguridad del sitio.
  • Activar las actualizaciones automaticas de plugins en WordPress

Referencias

INCIBE

Wordfence