WordPress için LiteSpeed Cache eklentisinde, kimliği doğrulanmamış bir tehdit aktörünün ayrıcalıklarını yükseltmesine ve kötü niyetli eylemler gerçekleştirmesine olanak verebilecek yüksek önemde bir güvenlik açığı açıklandı.
CVE-2024-50550 (CVSS puanı: 8.1) olarak takip edilen güvenlik açığı, eklentinin 6.5.2 sürümünde giderildi.
Patchstack güvenlik araştırmacısı Rafie Muhammad bir analizde, “Eklenti, kimliği doğrulanmamış herhangi bir ziyaretçinin yönetici düzeyinde erişim elde etmesine ve ardından kötü amaçlı eklentilerin yüklenip kurulabilmesine olanak tanıyan, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığından muzdariptir.” dedi.
LiteSpeed Cache, adından da anlaşılacağı gibi gelişmiş önbellekleme işlevselliği ve optimizasyon özellikleriyle birlikte gelen, WordPress için popüler bir site hızlandırma eklentisidir. Altı milyondan fazla siteye kuruludur.
Patchstack’a göre yeni tanımlanan sorun, is_role_simulation adlı bir işlevden kaynaklanıyor ve Ağustos 2024’te kamuya açık olarak belgelenen daha önceki bir kusura benziyor (CVE-2024-28000, CVSS puanı: 9,8).
Bu durum, kötü niyetli bir aktör tarafından kaba kuvvetle uygulanabilecek zayıf bir güvenlik karma kontrolünün kullanımından kaynaklanmaktadır; böylece, yönetici de dahil olmak üzere oturum açmış bir kullanıcıyı simüle etmek için tarayıcı özelliğinin kötüye kullanılmasına izin verilmektedir.
Ancak başarılı bir kullanım aşağıdaki eklenti yapılandırmasına dayanır:
- Tarayıcı -> Genel Ayarlar -> Tarayıcı: AÇIK
- Tarayıcı -> Genel Ayarlar -> Çalıştırma Süresi: 2500 – 4000
- Tarayıcı -> Genel Ayarlar -> Çalıştırmalar Arasındaki Aralık: 2500 – 4000
- Tarayıcı -> Genel Ayarlar -> Sunucu Yük Limiti: 0
- Tarayıcı -> Simülasyon Ayarları -> Rol Simülasyonu: 1 (Yönetici rolüne sahip kullanıcının kimliği)
- Tarayıcı -> Özet -> Etkinleştir: Yönetici dışındaki tüm satırları KAPALI konuma getirin
LiteSpeed tarafından uygulamaya konulan yama, rol simülasyon sürecini ortadan kaldırır ve karmaların 1 milyon olasılıkla sınırlandırılmasını önlemek için karma oluşturma adımını rastgele bir değer oluşturucu kullanarak günceller.
Muhammad, “Bu güvenlik açığı, güvenlik hash’leri veya nonce’leri olarak kullanılan değerlerin gücünü ve öngörülemezliğini sağlamanın kritik önemini vurguluyor” dedi.
“PHP’deki Rand() ve mt_Rand() işlevleri, birçok kullanım durumu için ‘yeterince rastgele’ olabilecek değerler döndürür, ancak bunlar, özellikle mt_srand sınırlı bir olasılıkla kullanılıyorsa, güvenlikle ilgili özelliklerde kullanılacak kadar öngörülemez değildir. “
CVE-2024-50550, LiteSpeed’de son iki ayda açıklanan üçüncü güvenlik açığıdır; diğer ikisi CVE-2024-44000 (CVSS puanı: 7,5) ve CVE-2024-47374 (CVSS puanı: 7,2).
Bu gelişme, Patchstack’ın Ultimate Membership Pro’da ayrıcalık artışı ve kod yürütmeyle sonuçlanabilecek iki kritik kusuru ayrıntılarıyla açıklamasından haftalar sonra gerçekleşti. Ancak 12.8 ve sonraki sürümlerde eksiklikler giderildi.
- CVE-2024-43240 (CVSS puanı: 9,4) – Bir saldırganın herhangi bir üyelik düzeyine kaydolmasına ve bunun için ekli rolü kazanmasına olanak verebilecek, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığı
- CVE-2024-43242 (CVSS puanı: 9,0) – Bir saldırganın rastgele kod çalıştırmasına izin verebilecek, kimliği doğrulanmamış bir PHP nesne enjeksiyon güvenlik açığı.
Patchstack ayrıca, WordPress’in ana şirketi Automattic ile WP Engine arasında devam eden yasal dramanın, bazı geliştiricilerin WordPress.org deposunu terk etmesine neden olduğu ve kullanıcıların olası eklenti kapanışları ve güvenlik hakkında en son bilgileri aldıklarından emin olmak için uygun iletişim kanallarını izlemelerini gerektirdiği konusunda da uyarıyor. sorunlar.
Patchstack CEO’su Oliver Sild, “WordPress.org deposundan kaldırılan eklentileri manuel olarak yüklemeyi başaramayan kullanıcılar, önemli güvenlik düzeltmeleri içerebilecek yeni güncellemeleri alamama riskiyle karşı karşıya kalır” dedi. “Bu, web sitelerini yaygın olarak bilinen güvenlik açıklarından yararlanan bilgisayar korsanlarına açık hale getirebilir ve bu tür durumlardan avantaj sağlayabilir.”