Нова уязвимост в плъгина за кеш на LiteSpeed излага на риск над 6 милиона сайта

Нова уязвимост в плъгина за кеш на LiteSpeed излага на риск над 6 милиона сайта

Нова уязвимост беше открита в плъгина LiteSpeed Cache за WordPress – неавтентично повишаване на правата, което може да доведе до цялостно превземане на сайта. За съжаление актуализирането до най-новата версия на плъгина може да не е достатъчно за решаване на проблема.

Плъгин за кеш на LiteSpeed

LiteSpeed Cache е плъгин за оптимизиране на производителността на сайтове, който има над 6 милиона инсталации. Плъгинът съхранява статично копие на данните, използвани за създаване на уеб страница, така че на сървъра да не се налага да извлича многократно едни и същи елементи на страницата от базата данни всеки път, когато браузърът поиска уеб страница.

Съхраняването на страницата в „кеш“ намалява натоварването на сървъра и ускорява времето, необходимо за предоставяне на уеб страница на браузър или обхождащ компютър.

LiteSpeed Cache извършва и други оптимизации на скоростта на страницата, като минифициране на CSS и JavaScript файлове (minifying), поставяне на най-важните CSS за визуализиране на страницата в самия HTML код (inlined CSS) и други оптимизации, които заедно правят сайта по-бърз.

Ескалация на неудостоверени привилегии

Неудостовереното повишаване на привилегиите е вид уязвимост, която позволява на хакера да получи привилегии за достъп до сайта, без да е необходимо да се регистрира като потребител. Това улеснява хакването на сайта в сравнение с уязвимостта за удостоверяване, която изисква хакерът първо да достигне определено ниво на привилегии, преди да може да извърши атаката.

Неудостовереното повишаване на привилегиите обикновено се дължи на недостатък в плъгин (или тема), а в този случай става въпрос за изтичане на данни.

Компанията за сигурност Patchstack, която е открила уязвимостта, пише, че тя може да бъде използвана само при две условия:

„Активна функция за водене на логове за отстраняване на грешки на плъгина LiteSpeed Cache.

Ако е била активирана функцията за водене на логове за отстраняване на грешки преди (дори в момента да не е активна) и файлът /wp-content/debug.log не е изчистен или премахнат.“

Открита от Patchstack

Уязвимостта е открита от изследователи на компанията за сигурност на WordPress Patchstack, която предлага безплатна услуга за предупреждение за уязвимости и разширена защита само за 5 долара на месец.

Оливър Силд, основател на Patchstack, обясни как е била открита тази уязвимост и предупреди, че актуализирането на плъгина не е достатъчно, че потребителят все още трябва ръчно да изчисти своите логове за отстраняване на грешки.

Той сподели подробности за уязвимостта:

„Тя беше открита от наш вътрешен изследовател, след като обработихме уязвимостта отпреди няколко седмици.

Важно нещо, което трябва да се има предвид при тази нова уязвимост, е, че дори когато тя бъде закърпена, потребителите все още трябва да изчистват ръчно своите логове за отстраняване на грешки. Също така е добре да напомня, че не е желателно режимът за отстраняване на грешки да бъде включен в сайтове, които са пуснати в употреба“.

Препоръчителни действия

Patchstack препоръчва на потребителите на плъгина LiteSpeed Cache за WordPress да го актуализират поне до версия 6.5.0.1 и ако съществуват логове за отстраняване на грешки, да ги изтрият.

Още полезни публикации

Готови ли сте да увеличите производителността на Вашия WordPress сайт? Вижте съревнованието между форматите за изображения AVIF и WebP. Ще разгледаме техните предимства и недостатъци и ще Ви помогнем да изберете най-добрия формат, за да бъде сайтът Ви бърз, елегантен и удобен за потребителите. В забързания свят на уеб разработката всяка милисекунда е от значение. […]

Препоръчаните фрагменти (Featured Snippets) са сред най-ефективните тактики за SEO оптимизация, които можете да използвате, за да увеличите органичния трафик към сайта си. Точно поради тази причина почти всеки маркетолог, който е наясно с важността на препоръчаните фрагменти, иска да приложи тази стратегия в своето съдържание. Представените откъси представляват кратка информация, която съдържа директни и […]

  • 22 септември 2024
  • /
  • SEO

Позволете ни да Ви помогнем!

Ние ще се грижим за Вашия WordPress сайт, за да можете Вие да се грижите за своя бизнес!

Абонирайте се за нашия email бюлетин, за да получавате полезни статии и информация за това как да направите WordPress сайта си по-добър и за предлаганите от нас услуги и промоции. Обещаваме да не Ви спамим!

© 2024 WPSupport.bg - All-in-One поддръжка за Вашия WordPress сайт.