Wtyczka LiteSpeed Cache dla WordPress w wersjach poniżej 6.5.0.1 nieprawidłowo chroni dane uwierzytelniające, umożliwiając atakującemu ominięcie mechanizmu logowania bez posiadania jakichkolwiek uprawnień. Podatność uzyskała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Insufficiently Protected Credentials vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Authentication Bypass.This issue affects LiteSpeed Cache: from n/a through < 6.5.0.1.
Podatność wynika z niewystarczającej ochrony przechowywanych lub przesyłanych danych uwierzytelniających (CWE-522). Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może uzyskać dostęp do chronionych danych logowania. Na tej podstawie możliwe jest ominięcie mechanizmu uwierzytelnienia i nieautoryzowane przejęcie kont użytkowników witryny WordPress.
Atakujący może przejąć dowolne konto użytkownika w witrynie WordPress, w tym konto administratora, uzyskując pełną kontrolę nad treścią i konfiguracją serwisu. W konsekwencji możliwe jest dalsze kompromitowanie środowiska, instalacja złośliwego oprogramowania lub kradzież danych.
Należy natychmiast zaktualizować wtyczkę LiteSpeed Cache do wersji 6.5.0.1 lub nowszej. Aktualizację można przeprowadzić bezpośrednio z panelu administracyjnego WordPress lub pobrać ze strony producenta. Zaleca się również przegląd logów dostępu w celu wykrycia ewentualnych prób nieautoryzowanego logowania.
Wtyczka LiteSpeed Cache dla WordPress w wersjach od n/a do poniżej 6.5.0.1
Szczegółowy opis podatności opublikowany został przez Patchstack. Podatność określana jest jako 'unauthenticated account takeover' — nieuwierzytelnione przejęcie konta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLitespeedtech Litespeed Cache
APPLitespeedtech< 6.5.0.1
Powiązane podatności
Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress
Incorrect Privilege Assignment vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows ...
Relative Path Traversal vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Path Tr...
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in LiteSpee...
Missing Authorization vulnerability in LiteSpeed Technologies LiteSpeed Cache.This issue affects LiteSpeed Cac...