Los expertos en ciberseguridad han descubierto una seria vulnerabilidad en el complemento LiteSpeed Cache para WordPress que podría permitir a usuarios no autenticados obtener privilegios de administrador.
Según un informe publicado por Rafie Muhammad de Patchstack el miércoles, el complemento sufre de una vulnerabilidad de escalada de privilegios no autenticados que permite a cualquier visitante no autenticado obtener acceso a nivel de administrador. Después de esto, podrían cargar e instalar plugins maliciosos.
La vulnerabilidad, identificada como CVE-2024-28000 (con una puntuación CVSS: 9.8), ha sido corregida en la versión 6.4 del complemento lanzada el 13 de agosto de 2024. Afecta a todas las versiones del complemento, incluyendo las anteriores a la 6.3.0.1.
LiteSpeed Cache es uno de los complementos de caché más populares en WordPress, con más de cinco millones de instalaciones activas.
En resumen, CVE-2024-28000 permite que un atacante no autenticado suplante su ID de usuario y se registre como un usuario de nivel administrativo, otorgándoles efectivamente privilegios para tomar el control de un sitio vulnerable de WordPress.
La vulnerabilidad se origina en una característica de simulación de usuario en el complemento que utiliza un hash de seguridad débil. Este sufre del uso de un número aleatorio trivialmente adivinable como semilla.
Esto se debe a que el plugin no restringe adecuadamente la funcionalidad de simulación de rol que permite a un usuario establecer su ID actual como la de un administrador, si tienen acceso a un hash válido que se puede encontrar en los registros de depuración o a través de fuerza bruta, según la alerta de Wordfence.
Se subraya la importancia crítica de garantizar la fortaleza e imprevisibilidad de los valores que se utilizan como hashes de seguridad o nonces.
Una vulnerabilidad previamente revelada en LiteSpeed Cache (CVE-2023-40000, con puntuación CVSS: 8.3) fue explotada por actores maliciosos, por lo que se insta a los usuarios a actualizar rápidamente a la última versión.
Vía The Hacker News
