Una nuova vulnerabilità ad alta gravità nel plugin LiteSpeed Cache per WordPress è stata recentemente svelata, rappresentando un rischio significativo per i siti web che utilizzano questa piattaforma. Il difetto di sicurezza, identificato come CVE-2024-50550 con un punteggio CVSS di 8.1, consente a un attore di minaccia non autenticato di elevare i propri privilegi e compiere azioni dannose. Questo problema è stato risolto nella versione 6.5.2 del plugin. La vulnerabilità permette a un visitatore non autenticato di ottenere l'accesso a livello amministratore, consentendo così l'upload e l'installazione di plugin malevoli.

Descrizione della vulnerabilità

LiteSpeed Cache è un plugin molto popolare per l'accelerazione dei siti WordPress, con oltre sei milioni di installazioni. La problematica risiede in una funzione chiamata is_role_simulation, simile a un difetto precedente documentato pubblicamente nell'agosto 2024 (CVE-2024-28000). Questa vulnerabilità deriva dall'uso di un controllo di hash di sicurezza debole che potrebbe essere forzato con un attacco brute force, permettendo a un attore malevolo di abusare della funzione crawler per simulare un utente connesso, incluso un amministratore.

Dettagli della patch

Per sfruttare con successo la vulnerabilità, è necessaria una configurazione specifica del plugin, che include impostazioni precise del crawler. La patch rilasciata da LiteSpeed elimina il processo di simulazione del ruolo e aggiorna la generazione dell'hash utilizzando un generatore di valori casuali, riducendo le possibilità a un milione. Questo evidenzia l'importanza critica di garantire la forza e l'imprevedibilità dei valori utilizzati come hash di sicurezza o nonce. Le funzioni rand() e mt_rand() in PHP, sebbene sufficienti per molti utilizzi, non sono abbastanza imprevedibili per caratteristiche legate alla sicurezza.

Altre vulnerabilità recenti

CVE-2024-50550 è il terzo difetto di sicurezza divulgato in LiteSpeed negli ultimi due mesi, con gli altri due identificati come CVE-2024-44000 e CVE-2024-47374. Recentemente, Patchstack ha anche dettagliato due difetti critici in Ultimate Membership Pro che potevano portare all'escalation dei privilegi e all'esecuzione di codice. Questi problemi sono stati risolti nella versione 12.8 e successive.

Considerazioni finali

È importante notare che alcuni sviluppatori stanno abbandonando il repository WordPress.org a causa di controversie legali tra Automattic e WP Engine. Questo richiede agli utenti di monitorare i canali di comunicazione appropriati per assicurarsi di ricevere le ultime informazioni su possibili chiusure di plugin e problemi di sicurezza.