WordPress 的 LiteSpeed Cache 插件中发现严重安全漏洞 网络相关

网络安全研究人员发现 WordPress 的 LiteSpeed Cache 插件中又一个严重的安全漏洞,该漏洞可能允许未经身份验证的用户控制任意帐户。

该漏洞编号为 CVE-2024-44000(CVSS 评分:7.5),影响 6.4.1 之前的版本(包括 6.4.1 版本)。该漏洞已在 6.5.0.1 版本中得到解决。

Patchstack 研究员 Rafie Muhammad 表示:“该插件存在未经身份验证的帐户接管漏洞,任何未经身份验证的访问者都可以获得任何已登录用户的身份验证访问权限,最坏的情况下可以获得管理员级别角色的访问权限,之后可以上传和安装恶意插件。 ”

此次发现是在对该插件进行广泛的安全分析之后得出的,此前该分析已发现一个严重的权限提升漏洞(CVE-2024-28000,CVSS 评分:9.8)。LiteSpeed Cache 是 WordPress 生态系统中流行的缓存插件,拥有超过 500 万个活跃安装。

新的漏洞源于名为“/wp-content/debug.log”的调试日志文件被公开暴露,这使得未经身份验证的攻击者可以查看文件中包含的潜在敏感信息。

这还可能包括 HTTP 响应标头中的用户 cookie 信息,从而有效地允许用户使用任何有效的会话登录到存在漏洞的站点。

该漏洞的严重程度较低,因为前提条件是必须在 WordPress 网站上启用调试功能才能成功。或者,它也可能会影响过去某个时间点激活了调试日志功能但未能删除调试文件的网站。

需要注意的是,此功能默认是禁用的。补丁通过将日志文件移动到 LiteSpeed 插件文件夹内的专用文件夹(“/wp-content/litespeed/debug/”)、随机化文件名以及删除在文件中记录 cookie 的选项来解决该问题。

建议用户检查其安装中是否存在“/wp-content/debug.log”,如果调试功能已启用(或曾经启用),则采取措施清除它们。

还建议设置 .htaccess 规则来拒绝直接访问日志文件,因为如果恶意行为者通过反复试验的方法知道新的文件名,他们仍然可以直接访问新的日志文件。

穆罕默德说:“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的重要性。”


之参博客 发布于  2024-9-9 09:40 

恶意插件利用 Popup Builder WordPress 插件感染 3,900 多个网站 网络相关

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。

据 Sucuri 称,该活动在过去三周内已感染了 3,900 多个网站。

安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示:“这些攻击是由不到一个月的域名精心策划的,注册日期可以追溯到 2024 年 2 月 12 日。”

感染序列涉及利用 CVE-2023-6000,这是 Popup Builder 中的一个安全漏洞,可被利用来创建恶意管理员用户并安装任意插件。

今年 1 月初,Balada Injector 攻击活动利用了这一缺陷,导致至少 7,000 个站点受到攻击。

最新的一组攻击会导致注入恶意代码,该恶意代码有两种不同的变体,旨在将网站访问者重定向到其他网站,例如网络钓鱼和诈骗页面。

建议 WordPress 网站所有者保持其插件最新,并扫描其网站是否有任何可疑代码或用户,并执行适当的清理。

斯里瓦斯塔瓦说:“这种新的恶意软件活动清楚地提醒人们,如果不及时更新网站软件,将面临风险。”

这一进展发生之际,WordPress 安全公司 Wordfence披露了另一个名为 Ultimate Member 的插件中的一个高度严重的错误,该插件可以被用来注入恶意 Web 脚本。

跨站脚本 (XSS) 缺陷被追踪为 CVE-2024-2123(CVSS 评分:7.2),影响该插件的所有版本,包括 2.8.3 及之前的版本。已在 2024 年 3 月 6 日发布的 2.8.4 版本中进行了修补。

该缺陷源于输入清理和输出转义不足,从而允许未经身份验证的攻击者在页面中注入任意 Web 脚本,这些脚本将在用户每次访问时执行。

“再加上该漏洞可以被在易受攻击的网站上没有权限的攻击者利用,这意味着未经身份验证的攻击者在成功利用该漏洞后,很有可能获得运行易受攻击版本的插件的网站的管理用户访问权限, ”Wordfence 说道。

值得注意的是,插件维护者在 2 月 19 日发布的 2.8.3 版本中解决了类似的缺陷(CVE-2024-1071,CVSS 评分:9.8)。

它还发现了 Avada WordPress 主题中的任意文件上传漏洞(CVE-2024-1468,CVSS 评分:8.8),并可能远程执行恶意代码。7.11.5版本已解决。

Wordfence表示:“这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在受影响站点的服务器上上传任意文件,从而使远程代码执行成为可能。”

标签: WordPress

之参博客 发布于  2024-3-21 15:49