Des chercheurs en cybersécurité ont révélé une faille de sécurité critique dans le Cache LiteSpeed plugin pour WordPress qui pourrait permettre aux utilisateurs non authentifiés d’obtenir des privilèges d’administrateur.
« Le plugin souffre d’une vulnérabilité d’escalade de privilèges non authentifiés qui permet à tout visiteur non authentifié d’obtenir un accès de niveau administrateur après quoi des plugins malveillants pourraient être téléchargés et installés », a déclaré Rafie Muhammad de Patchstack. dit dans un rapport du mercredi.
La vulnérabilité, identifiée comme CVE-2024-28000 (score CVSS : 9,8), a été corrigée dans la version 6.4 du plugin publiée le 13 août 2024. Elle affecte toutes les versions du plugin, y compris et avant la version 6.3.0.1.
LiteSpeed Cache est l’un des plugins de mise en cache les plus utilisés dans WordPress avec plus de cinq millions d’installations actives.
En un mot, CVE-2024-28000 permet à un attaquant non authentifié d’usurper son identifiant d’utilisateur et de s’inscrire en tant qu’utilisateur de niveau administratif, lui accordant ainsi des privilèges pour prendre le contrôle d’un site WordPress vulnérable.
La vulnérabilité est enracinée dans une fonctionnalité de simulation d’utilisateur dans le plugin qui utilise un hachage de sécurité faible qui souffre de l’utilisation d’un nombre aléatoire trivialement devinable comme graine.
Plus précisément, il n’existe qu’un million de valeurs possibles pour le hachage de sécurité, car le générateur de nombres aléatoires est dérivé de la partie microseconde de l’heure actuelle. De plus, le générateur de nombres aléatoires n’est pas sécurisé cryptographiquement et le hachage généré n’est ni salé ni lié à une demande ou à un utilisateur particulier.
« Cela est dû au fait que le plugin ne restreint pas correctement la fonctionnalité de simulation de rôle permettant à un utilisateur de définir son identifiant actuel sur celui d’un administrateur, s’il a accès à un hachage valide qui peut être trouvé dans les journaux de débogage ou par force brute », a déclaré Wordfence. dit dans sa propre alerte.
« Cela permet aux attaquants non authentifiés d’usurper leur identifiant d’utilisateur en celui d’un administrateur, puis de créer un nouveau compte d’utilisateur avec le rôle d’administrateur en utilisant le point de terminaison de l’API REST /wp-json/wp/v2/users. »
Il est important de noter que la vulnérabilité ne peut pas être exploitée sur les installations WordPress basées sur Windows en raison de la dépendance de la fonction de génération de hachage à une méthode PHP appelée sys_getloadavg() ce n’est pas implémenté sur Windows.
« Cette vulnérabilité souligne l’importance cruciale de garantir la solidité et l’imprévisibilité des valeurs utilisées comme hachages de sécurité ou nonces », a déclaré Muhammad.
Avec une faille précédemment divulguée dans LiteSpeed Cache (CVE-2023-40000, score CVSS : 8,3) exploitée par des acteurs malveillants, il est impératif que les utilisateurs agissent rapidement pour mettre à jour leurs instances vers la dernière version.