В плагине WordPress LiteSpeed ​​Cache обнаружена уязвимость высокого уровня

Исследователи кибербезопасности обнаружили еще одну критическую уязвимость безопасности в плагине LiteSpeed ​​​​Cache для WordPress, которая может позволить неаутентифицированным пользователям получить контроль над произвольными учетными записями.
Уязвимость, отслеживаемая как CVE-2024-44000 (оценка CVSS: 7,5), затрагивает версии плагина LiteSpeed ​​​​Cache, включая версию 6.4.1 и более ранние.
Исследователи обнаружили, что «плагин страдает от уязвимости перехвата неаутентифицированной учетной записи, которая позволяет любому неаутентифицированному посетителю, т. е. вошедшему в систему пользователю, получить привилегии аутентификации и, что хуже всего, получить привилегии уровня администратора, после чего можно будет загрузить и установить вредоносные плагины».
Эта уязвимость была обнаружена после обширного анализа безопасности плагина, в результате которого недавно была обнаружена уязвимость (CVE-2024-28000, оценка CVSS: 9,8) в плагине LiteSpeed ​​​​Cache. LiteSpeed ​​​​Cache — популярный плагин кэширования для экосистемы WordPress с более чем 5 миллионами активных установок. Примерно 4,5 миллиона веб-сайтов с LiteSpeed ​​​​Cache могут до сих пор не иметь исправленной этой уязвимости.
Плагин LiteSpeed ​​​​Cache предоставляет администраторам веб-сайтов кэш на уровне сервера и различные функции оптимизации.