Les chercheurs en cybersécurité ont découvert une autre faille de sécurité critique dans le plugin LiteSpeed Cache pour WordPress qui pourrait permettre à des utilisateurs non authentifiés de prendre le contrôle de comptes arbitraires.
La vulnérabilité, identifiée comme CVE-2024-44000 (score CVSS : 7,5), affecte les versions antérieures et incluses à la version 6.4.1. Elle a été corrigée dans la version 6.5.0.1.
« Le plugin souffre d’une vulnérabilité de prise de contrôle de compte non authentifié qui permet à tout visiteur non authentifié d’obtenir un accès d’authentification à tout utilisateur connecté et, au pire, d’accéder à un rôle de niveau administrateur après lequel des plugins malveillants pourraient être téléchargés et installés », a déclaré Rafie Muhammad, chercheur chez Patchstack. dit.
Cette découverte fait suite à une analyse approfondie de la sécurité du plugin, qui a précédemment conduit à l’identification d’une faille critique d’escalade de privilèges (CVE-2024-28000, score CVSS : 9,8). LiteSpeed Cache est un plugin de mise en cache populaire pour l’écosystème WordPress avec plus de 5 millions d’installations actives.
La nouvelle vulnérabilité provient du fait qu’un fichier journal de débogage nommé « /wp-content/debug.log » est exposé publiquement, ce qui permet aux attaquants non authentifiés de visualiser des informations potentiellement sensibles contenues dans le fichier.
Cela pourrait également inclure les informations sur les cookies utilisateur présentes dans les en-têtes de réponse HTTP, permettant ainsi aux utilisateurs de se connecter à un site vulnérable avec n’importe quelle session activement valide.
La gravité moindre de la faille est due au fait que la fonction de débogage doit être activée sur un site WordPress pour qu’elle soit efficace. Elle peut également affecter les sites qui ont activé la fonction de journal de débogage à un moment donné dans le passé, mais qui n’ont pas réussi à supprimer le fichier de débogage.
Il est important de noter que cette fonctionnalité est désactivée par défaut. Le correctif résout le problème en déplaçant le fichier journal vers un dossier dédié dans le dossier du plug-in LiteSpeed (« /wp-content/litespeed/debug/ »), en randomisant les noms de fichiers et en supprimant l’option permettant d’enregistrer les cookies dans le fichier.
Il est conseillé aux utilisateurs de vérifier leurs installations pour la présence du « /wp-content/debug.log » et de prendre des mesures pour les purger si la fonction de débogage a (ou avait) été activée.
Il est également recommandé de définir une règle .htaccess pour refuser l’accès direct aux fichiers journaux, car les acteurs malveillants peuvent toujours accéder directement au nouveau fichier journal s’ils connaissent le nouveau nom de fichier au moyen d’une méthode d’essais et d’erreurs.
« Cette vulnérabilité souligne l’importance cruciale de garantir la sécurité de l’exécution d’un processus de journal de débogage, les données qui ne doivent pas être enregistrées et la manière dont le fichier journal de débogage est géré », a déclaré Muhammad.