WordPress için LiteSpeed Cache eklentisinde, kimliği doğrulanmamış bir tehdit aktörünün ayrıcalıklarını yükseltmesine ve kötü niyetli eylemler gerçekleştirmesine olanak verebilecek yüksek önemde bir güvenlik açığı açıklandı.
CVE-2024-50550 (CVSS puanı: 8.1) olarak takip edilen güvenlik açığı, eklentinin 6.5.2 sürümünde giderildi.
Patchstack güvenlik araştırmacısı Rafie Muhammad, “Eklenti, kimliği doğrulanmamış herhangi bir ziyaretçinin yönetici düzeyinde erişim elde etmesine ve ardından kötü amaçlı eklentilerin yüklenip kurulabilmesine olanak tanıyan, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığından muzdariptir.” söz konusu bir analizde.
LiteSpeed Cache, adından da anlaşılacağı gibi gelişmiş önbellekleme işlevselliği ve optimizasyon özellikleriyle birlikte gelen, WordPress için popüler bir site hızlandırma eklentisidir. Onun yüklü altı milyondan fazla sitede.
Patchstack’a göre yeni tanımlanan sorun, is_role_simulation adlı bir işlevden kaynaklanıyor ve Ağustos 2024’te kamuya açık olarak belgelenen daha önceki bir kusura benziyor (CVE-2024-28000, CVSS puanı: 9,8).
Bu durum, kötü niyetli bir aktör tarafından kaba kuvvetle uygulanabilecek zayıf bir güvenlik karma kontrolünün kullanımından kaynaklanmaktadır; böylece, yönetici de dahil olmak üzere oturum açmış bir kullanıcıyı simüle etmek için tarayıcı özelliğinin kötüye kullanılmasına izin verilmektedir.
Ancak başarılı bir kullanım aşağıdaki eklenti yapılandırmasına dayanır:
- Tarayıcı -> Genel Ayarlar -> Tarayıcı: AÇIK
- Tarayıcı -> Genel Ayarlar -> Çalıştırma Süresi: 2500 – 4000
- Tarayıcı -> Genel Ayarlar -> Çalıştırmalar Arasındaki Aralık: 2500 – 4000
- Tarayıcı -> Genel Ayarlar -> Sunucu Yük Limiti: 0
- Tarayıcı -> Simülasyon Ayarları -> Rol Simülasyonu: 1 (Yönetici rolüne sahip kullanıcının kimliği)
- Tarayıcı -> Özet -> Etkinleştir: Yönetici dışındaki tüm satırları KAPALI konuma getirin
LiteSpeed tarafından uygulamaya konulan yama, rol simülasyon sürecini ortadan kaldırır ve karmaların 1 milyon olasılıkla sınırlandırılmasını önlemek için karma oluşturma adımını rastgele bir değer oluşturucu kullanarak günceller.
Muhammad, “Bu güvenlik açığı, güvenlik hash’leri veya nonce’leri olarak kullanılan değerlerin gücünü ve öngörülemezliğini sağlamanın kritik önemini vurgulamaktadır” dedi.
“PHP’deki Rand() ve mt_Rand() işlevleri, birçok kullanım durumu için ‘yeterince rastgele’ olabilecek değerler döndürür, ancak bunlar, özellikle mt_srand sınırlı bir olasılıkla kullanılıyorsa, güvenlikle ilgili özelliklerde kullanılacak kadar öngörülemez değildir. “
CVE-2024-50550, LiteSpeed’de son iki ayda açıklanan üçüncü güvenlik açığıdır; diğer ikisi CVE-2024-44000 (CVSS puanı: 7,5) ve CVE-2024-47374 (CVSS puanı: 7,2).
Gelişme Patchstack’tan haftalar sonra geliyor ayrıntılı Ultimate Membership Pro’da ayrıcalık artışına ve kod yürütülmesine neden olabilecek iki kritik kusur. Ancak 12.8 ve sonraki sürümlerde eksiklikler giderildi.
- CVE-2024-43240 (CVSS puanı: 9,4) – Bir saldırganın herhangi bir üyelik düzeyine kaydolmasına ve bunun için ekli rolü kazanmasına olanak verebilecek, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığı
- CVE-2024-43242 (CVSS puanı: 9,0) – Bir saldırganın rastgele kod çalıştırmasına izin verebilecek, kimliği doğrulanmamış bir PHP nesne enjeksiyon güvenlik açığı.
Patchstack ayrıca, WordPress’in ana şirketi Automattic ile WP Engine arasında devam eden yasal dramanın, bazı geliştiricilerin WordPress.org deposunu terk etmesine neden olduğu ve kullanıcıların olası eklenti kapanışları ve güvenlik hakkında en son bilgileri aldıklarından emin olmak için uygun iletişim kanallarını izlemelerini gerektirdiği konusunda da uyarıyor. sorunlar.
Patchstack CEO’su Oliver Sild, “WordPress.org deposundan kaldırılan eklentileri manuel olarak yüklemede başarısız olan kullanıcılar, önemli güvenlik düzeltmeleri içerebilecek yeni güncellemeleri alamama riskiyle karşı karşıya kalır.” söz konusu. “Bu, web sitelerini yaygın olarak bilinen güvenlik açıklarından yararlanan bilgisayar korsanlarına maruz bırakabilir ve bu tür durumlardan avantaj sağlayabilir.”