Pesquisadores de segurança cibernética descobriram outra falha crítica de segurança no plugin LiteSpeed Cache para WordPress que pode permitir que usuários não autenticados assumam o controle de contas arbitrárias.
A vulnerabilidade, rastreada como CVE-2024-44000 (pontuação CVSS: 7,5), impacta versões anteriores e incluindo 6.4.1. Ela foi corrigida na versão 6.5.0.1.
“O plugin sofre de uma vulnerabilidade de sequestro de conta não autenticada que permite que qualquer visitante não autenticado obtenha acesso de autenticação a qualquer usuário conectado e, na pior das hipóteses, pode obter acesso a uma função de nível de administrador, após a qual plugins maliciosos podem ser carregados e instalados”, disse o pesquisador do Patchstack, Rafie Muhammad.
A descoberta segue uma extensa análise de segurança do plugin, que anteriormente levou à identificação de uma falha crítica de escalonamento de privilégios (CVE-2024-28000, pontuação CVSS: 9,8). O LiteSpeed Cache é um plugin de cache common para o ecossistema WordPress com mais de 5 milhões de instalações ativas.
A nova vulnerabilidade decorre do fato de que um arquivo de log de depuração chamado “/wp-content/debug.log” é exposto publicamente, o que possibilita que invasores não autenticados visualizem informações potencialmente confidenciais contidas no arquivo.
Isso também pode incluir informações de cookies do usuário presentes nos cabeçalhos de resposta HTTP, permitindo efetivamente que os usuários efetuem login em um web site vulnerável com qualquer sessão que seja ativamente válida.
A menor gravidade da falha se deve ao pré-requisito de que o recurso de depuração deve ser habilitado em um web site WordPress para que seja bem-sucedido. Alternativamente, também pode afetar websites que ativaram o recurso de log de depuração em algum momento no passado, mas falharam em remover o arquivo de depuração.
É importante notar que esse recurso é desabilitado por padrão. O patch aborda o problema movendo o arquivo de log para uma pasta dedicada dentro da pasta do plugin LiteSpeed (“/wp-content/litespeed/debug/”), randomizando nomes de arquivo e removendo a opção de registrar cookies no arquivo.
Os usuários são aconselhados a verificar suas instalações quanto à presença do “/wp-content/debug.log” e tomar medidas para eliminá-lo caso o recurso de depuração tenha (ou tenha) sido habilitado.
Também é recomendável definir uma regra .htaccess para negar acesso direto aos arquivos de log, pois agentes mal-intencionados ainda podem acessar diretamente o novo arquivo de log se souberem o novo nome do arquivo por meio de um método de tentativa e erro.
“Essa vulnerabilidade destaca a importância crítica de garantir a segurança da execução de um processo de log de depuração, quais dados não devem ser registrados e como o arquivo de log de depuração é gerenciado”, disse Muhammad.