Hosting
WordPress - LiteSpeed Cache - CVE-2024-28000

Une faille critique dans LiteSpeed Cache expose des millions de sites WordPress

Santana 9 septembre 2024 Internet Laisser un commentaire 68 Vues

Une faille de sécurité critique présente dans le plugin LiteSpeed Cache pour WordPress expose dangereusement des millions de sites web. Faisons le point.

LiteSpeed Cache est l’une des extensions les plus populaires et les plus appréciées lorsqu’il est question d’installer un plugin de mise en cache pour un site WordPress, bien qu’il y ait des alternatives comme WP-Rocket. Très populaire, elle compte à l’heure actuelle 5 millions d’installations actives.

Le problème, c’est que cette extension est affectée par une faille de sécurité critique : CVE-2024-28000. En exploitant cette vulnérabilité, un attaquant non authentifié peut élever ses privilèges sur le site WordPress et en prendre le contrôle grâce à la création d’un compte administrateur.

Vous l’aurez compris, n’importe quel visiteur d’un site web vulnérable peut exploiter cette faille de sécurité pour prendre le contrôle du site WordPress. Ensuite, cet accès peut être exploité pour collecter des données, modifier la configuration ou encore diffuser du contenu malveillant.

« Nous avons pu déterminer qu’une attaque par force brute qui itère l’ensemble des 1 million de valeurs possibles connues pour le hachage de sécurité et les transmet au cookie litespeed_hash – même à une vitesse relativement faible de 3 requêtes par seconde – est capable d’accéder au site en tant qu’identifiant d’utilisateur dans un délai compris entre quelques heures et une semaine.« , peut-on lire dans le rapport de PatchStack, l’organisation à l’origine de la découverte.

Pour avoir des détails techniques sur cette faiblesse liée à une mauvaise vérification d’un hash, consultez le rapport publié sur le site de PatchStack.

Qui est affecté ? Comment se protéger ?

La faille de sécurité CVE-2024-28000 affecte toutes les versions de LiteSpeed Cache jusqu’à la version 6.3.0.1 incluse. Ce problème de sécurité a été corrigé le 13 août 2024 par les développeurs de LiteSpeed, et le correctif est présent dans la version 6.4 de l’extension.

D’après les statistiques disponibles sur le site WordPress, le plugin a été téléchargé environ 2,8 millions de fois sur les 7 derniers jours. Il y aurait donc encore plus de 2,5 millions de sites WordPress potentiellement vulnérables.

Si vous utilisez LiteSpeed Cache, patchez dès que possible.

Source

Hébergez votre site à partir de 2$ sur 👉👉👉

Mots clés

À propos Santana

Analyste en cybersécurité avec 5 ans d'expérience dans la protection des systèmes d'information contre les menaces et les attaques. Expertise dans la surveillance des réseaux, l'analyse des vulnérabilités, et la gestion des incidents de sécurité. Passionnée par l'innovation technologique et la mise en œuvre de solutions de sécurité robustes pour protéger les données sensibles et assurer la conformité réglementaire.

Vérifiez également

une bonne idée de cadeau pour Noël ?

Trouver le cadeau parfait pour Noël, quelle aventure, n’est-ce pas ? Chaque année, c’est la …

un index de recherche 100 % européen se prépare

La domination des moteurs de recherche américains, comme Google et Bing, n’est plus un secret …

Le retour inattendu d’une icône d’Internet

Bon, on ne va pas se mentir, ce n’est probablement pas la nouvelle qui va …

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Tutoriels pour tous les niveaux | Apprendre en ligne n’a jamais été aussi simple.
© Droit d'auteur 2010- 2024, Tous droits réservés