Haavoittuvuus19/2024CVSS 9.8CVE-2024-28000 (Ulkoinen linkki)
LiteSpeed Cache WordPress -lisäosasta on löydetty kriittinen haavoittuvuus. Haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle pääsyn järjestelmään luomalla uusia käyttäjätunnuksia ilman tunnistautumista.
LiteSpeed Cache WordPress -lisäosasta löydetty haavoittuvuus johtuu huonosti toteutetusta tiivistearvon generoinnista, joka käyttää tunnettuja arvoja ja turvatonta satunnaislukugeneraattoria. Haavoittuvuutta hyväksikäyttämällä hyökkääjä pystyy luomaan järjestelmään käyttäjätunnuksia, myös pääkäyttäjätason käyttäjätunnuksen, ja tällä tavalla ottaa WordPress järjestelmän haltuun. WordPress järjestelmien ylläpitäjien tulisi päivittää LiteSpeed Cache -lisäosa, mikäli se on käytössä.
Haavoittuvuuden kohde
LiteSpeed Cache WordPress -lisäosa, mikäli käytössä on muu kuin korjattu versio 6.4 ja järjestelmä on käytössä Linux pohjaisessa käyttöjärjestelmässä. Windows-pohjaisessa versiossa hyväksikäyttö ei tämän hetken tietojen mukaan ole mahdollista.
Mistä on kysymys?
Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi luoda itselleen WordPress-järjestelmään käyttäjätunnuksia, myös pääkäyttäjätason käyttäjätunnuksia. Tällä tavalla hyökkääjä voi ottaa WordPress-alustan haltuun. Haavoittuvuuden hyväksikäyttöä ei ole havaittu, mutta samassa tuotteessa olevia muita haavoittuvuuksia on aiemmin käytetty laajasti hyväksi.
Mitä voin tehdä?
LiteSpeed Cache -lisäosan kehittäjät ovat julkaisseet haavoittuvuuden korjaavan ohjelmistopäivityksen. WordPress-järjestelmien ylläpitäjien tulisi päivittää LiteSpeed Cache -lisäosa mahdollisimman pian, mikäli se on käytössä. Haavoittuvuuteen ei ole saatavilla muita rajoittavia toimenpiteitä.
Haavoittuvuus koskee WordPress-järjestelmää käyttäviä henkilöitä tai organisaatioita mikäli käytössä on myös LiteSpeed Cache -lisäosa.