آسیب پذیری جدید LiteSpeed ​​Cache 6 میلیون سایت را در معرض خطر قرار می دهد

آسیب‌پذیری دیگری در افزونه LiteSpeed ​​Cache WordPress کشف شد – یک افزایش امتیاز تایید نشده که می‌تواند منجر به تصاحب کامل سایت شود. متأسفانه، به روز رسانی به آخرین نسخه افزونه ممکن است برای حل مشکل کافی نباشد.

پلاگین LiteSpeed ​​Cache

پلاگین LiteSpeed ​​Cache یک افزونه بهینه سازی عملکرد وب سایت است که بیش از 6 میلیون نصب دارد. یک پلاگین کش یک کپی ثابت از داده های مورد استفاده برای ایجاد یک صفحه وب را ذخیره می کند تا سرور مجبور نباشد هر بار که مرورگر یک صفحه وب را درخواست می کند، دقیقاً همان عناصر صفحه را از پایگاه داده به طور مکرر واکشی کند.

ذخیره کردن صفحه در یک “کش” بار سرور را کاهش می دهد و زمان تحویل یک صفحه وب به مرورگر یا خزنده را سرعت می بخشد.

LiteSpeed ​​Cache همچنین سایر بهینه‌سازی‌های سرعت صفحه مانند فشرده‌سازی فایل‌های CSS و JavaScript (minifying) را انجام می‌دهد، مهم‌ترین CSS را برای رندر کردن یک صفحه در خود کد HTML قرار می‌دهد (CSS درون خطی) و بهینه‌سازی‌های دیگری که مجموعاً یک سایت را سریع‌تر می‌کنند.

افزایش امتیازات تایید نشده

افزایش امتیاز تایید نشده نوعی آسیب‌پذیری است که به هکر اجازه می‌دهد بدون نیاز به ورود به عنوان کاربر، به امتیازات دسترسی به سایت دست یابد. این امر هک کردن یک سایت را در مقایسه با یک آسیب‌پذیری احراز هویت شده آسان‌تر می‌کند.

افزایش امتیازات احراز هویت نشده معمولاً به دلیل نقص در یک افزونه (یا طرح زمینه) رخ می دهد و در این مورد نشت داده است.

Patchstack، شرکت امنیتی که این آسیب‌پذیری را کشف کرده است، می‌نویسد که آسیب‌پذیری تنها تحت دو شرط قابل سوء استفاده است:

«ویژگی ثبت اشکال زدایی فعال در افزونه LiteSpeed ​​Cache.

قبلاً یک بار ویژگی ثبت اشکال‌زدایی را فعال کرده است (فعلاً فعال نیست) و فایل /wp-content/debug.log پاک یا حذف نشده است.

کشف شده توسط Patchstack

این آسیب‌پذیری توسط محققان شرکت امنیتی وردپرس Patchstack کشف شد که یک سرویس رایگان هشدار آسیب‌پذیری و محافظت پیشرفته را با قیمتی کمتر از ۵ دلار در ماه ارائه می‌دهد.

الیور سیلد، بنیانگذار Patchstack، به ژورنال موتور جستجو توضیح داد که چگونه این آسیب‌پذیری کشف شد و هشدار داد که به‌روزرسانی افزونه کافی نیست، و کاربر همچنان باید به صورت دستی لاگ‌های اشکال زدایی خود را پاک کند.

او این مشخصات را در مورد آسیب پذیری به اشتراک گذاشت:

«این توسط محقق داخلی ما پس از پردازش آسیب‌پذیری چند هفته پیش پیدا شد.

نکته مهمی که باید در مورد این آسیب‌پذیری جدید در نظر داشت این است که حتی زمانی که وصله می‌شود، کاربران همچنان باید لاگ‌های اشکال‌زدایی خود را به صورت دستی پاک کنند. همچنین یادآوری خوبی برای عدم فعال نگه داشتن حالت اشکال زدایی در تولید است.

دوره اقدام توصیه شده

Patchstack توصیه می کند که کاربران پلاگین LiteSpeed ​​Cache WordPress را حداقل به نسخه 6.5.0.1 به روز کنند.

مشاوره در Patchstack را بخوانید:

آسیب‌پذیری حیاتی تصاحب حساب در افزونه کش LiteSpeed ​​وصله شده است

تصویر ویژه توسط Shutterstock/Teguh Mujiono

Source link