محققان امنیت سایبری یک نقص امنیتی مهم دیگر با شناسه CVE-2024-44000 و امتیاز CVSS: 7.5 را در پلاگین LiteSpeed Cache وردپرس کشف کردهاند که میتواند به کاربران احراز هویت نشده اجازه دهد تا کنترل حسابهای دلخواه را در دست بگیرند.
محقق Patchstack میگوید: این آسیبپذیری به عنوان یک باگ تصاحب حساب کاربری احراز هویت نشده طبقهبندی میشود. در واقع این پلاگین به هر بازدیدکنندهی احراز هویت نشده، اجازه میدهد تا هر کاربری که وارد سیستم شده، دسترسی احراز هویت داشته باشد که در بدترین حالت میتواند به سطح دسترسی Administrator دست پیدا کند و پس از آن پلاگینهای مخرب را آپلود و نصب کند.
این آسیبپذیری نسخههای قبل و شامل 6.4.1 را تحت تأثیر قرار میدهد و در نسخه 6.5.0.1 برطرف شده است. این کشف به دنبال تجزیه و تحلیل امنیتی گسترده این پلاگین است که قبلاً منجر به شناسایی یک نقص حیاتی ارتقا سطج دسترسی با شناسه CVE-2024-28000 و امتیاز CVSS: 9.8 شده بود.
https://www.bleepingcomputer.com/news/security/litespeed-cache-bug-exposes-6-million-wordpress-sites-to-takeover-attacks
https://thehackernews.com/2024/09/critical-security-flaw-found-in.html
