Une faille de sécurité de haute gravité a été révélée dans le plugin LiteSpeed Cache pour WordPress, qui pourrait permettre à un acteur malveillant non authentifié d’élever ses privilèges et d’effectuer des actions malveillantes.
La vulnérabilité, identifiée comme CVE-2024-50550 (score CVSS : 8.1), a été corrigée dans la version 6.5.2 du plugin.
« Le plugin souffre d’une vulnérabilité d’élévation de privilèges non authentifiée qui permet à tout visiteur non authentifié d’obtenir un accès de niveau administrateur, après quoi des plugins malveillants pourraient être téléchargés et installés », a déclaré Rafie Muhammad, chercheur en sécurité chez Patchstack. dit dans une analyse.
LiteSpeed Cache est un plugin d’accélération de site populaire pour WordPress qui, comme son nom l’indique, est doté de fonctionnalités avancées de mise en cache et d’optimisation. C’est installé sur plus de six millions de sites.
Le problème nouvellement identifié, selon Patchstack, est enraciné dans une fonction nommée is_role_simulation et est similaire à une faille antérieure qui a été publiquement documentée en août 2024 (CVE-2024-28000, score CVSS : 9,8).
Cela découle de l’utilisation d’un faible contrôle de hachage de sécurité qui pourrait être forcé par un mauvais acteur, permettant ainsi d’abuser de la fonctionnalité du robot d’exploration pour simuler un utilisateur connecté, y compris un administrateur.
Cependant, une exploitation réussie repose sur la configuration du plugin suivante :
- Crawler -> Paramètres généraux -> Crawler : activé
- Crawler -> Paramètres généraux -> Durée d’exécution : 2 500 – 4 000
- Crawler -> Paramètres généraux -> Intervalle entre les exécutions : 2 500 – 4 000
- Crawler -> Paramètres généraux -> Limite de charge du serveur : 0
- Crawler -> Paramètres de simulation -> Simulation de rôle : 1 (ID de l’utilisateur avec le rôle d’administrateur)
- Crawler -> Résumé -> Activer : désactivez chaque ligne, sauf l’administrateur
Le patch mis en place par LiteSpeed supprime le processus de simulation de rôle et met à jour l’étape de génération de hachage à l’aide d’un générateur de valeurs aléatoires pour éviter de limiter les hachages à 1 million de possibilités.
« Cette vulnérabilité met en évidence l’importance cruciale de garantir la force et l’imprévisibilité des valeurs utilisées comme hachages de sécurité ou nonces », a déclaré Muhammad.
« Les fonctions rand() et mt_rand() de PHP renvoient des valeurs qui peuvent être « suffisamment aléatoires » pour de nombreux cas d’utilisation, mais elles ne sont pas suffisamment imprévisibles pour être utilisées dans des fonctionnalités liées à la sécurité, surtout si mt_srand est utilisé dans une possibilité limitée. « .
CVE-2024-50550 est la troisième faille de sécurité révélée dans LiteSpeed au cours des deux derniers mois, les deux autres étant CVE-2024-44000 (score CVSS : 7,5) et CVE-2024-47374 (score CVSS : 7,2).
Le développement intervient des semaines après Patchstack détaillé deux failles critiques dans Ultimate Membership Pro qui pourraient entraîner une élévation de privilèges et l’exécution de code. Mais les lacunes ont été corrigées dans la version 12.8 et versions ultérieures.
- CVE-2024-43240 (score CVSS : 9,4) – Une vulnérabilité d’élévation de privilèges non authentifiée qui pourrait permettre à un attaquant de s’inscrire à n’importe quel niveau d’adhésion et d’obtenir le rôle qui lui est associé.
- CVE-2024-43242 (score CVSS : 9,0) – Une vulnérabilité d’injection d’objet PHP non authentifiée qui pourrait permettre à un attaquant d’exécuter du code arbitraire.
Patchstack avertit également que le drame juridique en cours entre Automattic, la société mère de WordPress, et WP Engine, a incité certains développeurs à abandonner le référentiel WordPress.org, obligeant les utilisateurs à surveiller les canaux de communication appropriés pour s’assurer qu’ils reçoivent les dernières informations sur les éventuelles fermetures de plugins et la sécurité. problèmes.
« Les utilisateurs qui ne parviennent pas à installer manuellement les plugins supprimés du référentiel WordPress.org risquent de ne pas recevoir de nouvelles mises à jour pouvant inclure des correctifs de sécurité importants », a déclaré Oliver Sild, PDG de Patchstack. dit. « Cela peut exposer les sites Web à des pirates informatiques qui exploitent généralement des vulnérabilités connues et peuvent tirer parti de telles situations. »