Uma nova falha de segurança de alta gravidade foi divulgada no plugin LiteSpeed Cache para WordPress que pode permitir que atores mal-intencionados executem código JavaScript arbitrário sob certas condições.
A falha, rastreada como CVE-2024-47374 (pontuação CVSS: 7.2), foi descrita como uma vulnerabilidade armazenada de script entre websites (XSS) que afeta todas as versões do plug-in até 6.5.0.2 inclusive.
Foi abordado na versão 6.5.1 em 25 de setembro de 2024, após divulgação responsável pelo pesquisador da Patchstack Alliance, TaiYou.
“Isso poderia permitir que qualquer usuário não autenticado roubasse informações confidenciais para, neste caso, escalar privilégios no website WordPress executando uma única solicitação HTTP”, disse Patchstack em um relatório.
A falha decorre da maneira como o plug-in, o valor do cabeçalho HTTP “X-LSCACHE-VARY-VALUE” é analisado sem higienização adequada e escape de saída, permitindo assim a injeção de scripts da net arbitrários.
Dito isso, vale ressaltar que as configurações de otimização de página “Combinar CSS” e “Gerar UCSS” são necessárias para permitir que a exploração seja bem-sucedida.
Também chamadas de ataques XSS persistentes, essas vulnerabilidades tornam possível armazenar permanentemente um script injetado nos servidores do website alvo, como em um banco de dados, em um fórum de mensagens, em um registro de visitantes ou em um comentário.
Isso faz com que o código malicioso incorporado no script seja executado sempre que um visitante desavisado do website acessa o recurso solicitado, por exemplo, a página da net que contém o comentário especialmente criado.
Os ataques XSS armazenados podem ter consequências graves, pois podem ser usados como armas para fornecer explorações baseadas em navegador, roubar informações confidenciais ou até mesmo sequestrar a sessão de um usuário autenticado e executar ações em seu nome.
O cenário mais prejudicial é quando a conta de usuário sequestrada é a de um administrador do website, permitindo assim que um agente de ameaça assuma completamente o controle do website e understand ataques ainda mais poderosos.
Plug-ins e temas do WordPress são um caminho common para cibercriminosos que buscam comprometer websites legítimos. Com o LiteSpeed Cache ostentando mais de seis milhões de instalações ativas, as falhas no plugin representam uma superfície de ataque lucrativa para ataques oportunistas.
O patch mais recente chega quase um mês depois que os desenvolvedores do plugin resolveram outra falha (CVE-2024-44000, pontuação CVSS: 7,5) que poderia permitir que usuários não autenticados assumissem o controle de contas arbitrárias.
Também segue a divulgação de uma falha crítica de injeção de SQL não corrigida no plugin TI WooCommerce lista de desejos (CVE-2024-43917, pontuação CVSS: 9,8) que, se explorada com sucesso, permite que qualquer usuário execute consultas SQL arbitrárias no banco de dados do WordPress website.
Outra vulnerabilidade crítica de segurança diz respeito ao plugin Jupiter X Core WordPress (CVE-2024-7772, pontuação CVSS: 9,8) que permite que invasores não autenticados carreguem arquivos arbitrários no servidor do website afetado, potencialmente levando à execução remota de código.
Foi corrigido na versão 4.7.8, junto com uma falha de desvio de autenticação de alta gravidade (CVE-2024-7781, pontuação CVSS: 8.1) que “torna possível que invasores não autenticados façam login como o primeiro usuário a fazer login com uma conta de mídia social, incluindo contas de administrador”, disse Wordfence.
