16 octobre 2024

Krusell France

Ta dose d'actu digital !

Faille de sécurité critique dans LiteSpeed Cache : millions de sites WordPress exposés

2 mois ago Julien Castex
WordPress - LiteSpeed Cache - CVE-2024-28000
Rate this post

Une faille de sécurité critique présente dans le plugin LiteSpeed Cache pour WordPress expose dangereusement des millions de sites web. Faisons le point.

Sommaire masquer
1 LiteSpeed Cache : une extension populaire mais vulnérable
2 Qui est affecté ? Comment se protéger ?
3 Actualités similaires :

LiteSpeed Cache : une extension populaire mais vulnérable

LiteSpeed Cache est l’une des extensions les plus populaires et les plus appréciées lorsqu’il est question d’installer un plugin de mise en cache pour un site WordPress, bien qu’il y ait des alternatives comme WP-Rocket. Très populaire, elle compte à l’heure actuelle 5 millions d’installations actives.

Le problème, c’est que cette extension est affectée par une faille de sécurité critique : CVE-2024-28000. En exploitant cette vulnérabilité, un attaquant non authentifié peut élever ses privilèges sur le site WordPress et en prendre le contrôle grâce à la création d’un compte administrateur.

Vous l’aurez compris, n’importe quel visiteur d’un site web vulnérable peut exploiter cette faille de sécurité pour prendre le contrôle du site WordPress. Ensuite, cet accès peut être exploité pour collecter des données, modifier la configuration ou encore diffuser du contenu malveillant.

“Nous avons pu déterminer qu’une attaque par force brute qui itère l’ensemble des 1 million de valeurs possibles connues pour le hachage de sécurité et les transmet au cookie litespeed_hash – même à une vitesse relativement faible de 3 requêtes par seconde – est capable d’accéder au site en tant qu’identifiant d’utilisateur dans un délai compris entre quelques heures et une semaine.”, peut-on lire dans le rapport de PatchStack, l’organisation à l’origine de la découverte.

Pour avoir des détails techniques sur cette faiblesse liée à une mauvaise vérification d’un hash, consultez le rapport publié sur le site de PatchStack.

Qui est affecté ? Comment se protéger ?

La faille de sécurité CVE-2024-28000 affecte toutes les versions de LiteSpeed Cache jusqu’à la version 6.3.0.1 incluse. Ce problème de sécurité a été corrigé le 13 août 2024 par les développeurs de LiteSpeed, et le correctif est présent dans la version 6.4 de l’extension.

D’après les statistiques disponibles sur le site WordPress, le plugin a été téléchargé environ 2,8 millions de fois sur les 7 derniers jours. Il y aurait donc encore plus de 2,5 millions de sites WordPress potentiellement vulnérables.

En février 2024, une alerte similaire avait été lancée pour cette extension, suite à la découverte d’une vulnérabilité.

Si vous utilisez LiteSpeed Cache, patchez dès que possible.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Alerte sécurité : Faille critique dans le pilote Wi-Fi de Windows !
  2. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  3. Découvrez l’exploit PoC pour une faille de sécurité critique dans Veeam Backup Enterprise Manager
  4. Mise à jour nécessaire pour protéger votre ordinateur Intel contre une faille critique de sécurité dans le firmware UEFI.
  5. Comment se protéger de la faille critique de sécurité de FortiSIEM ?
  6. Découvrez la faille de sécurité critique PHP-CGI sur Windows et comment vous protéger
Tags:

Plus d'actu

obtenir Windows 11 24H2 plus rapidement

Obtenez Windows 11 24H2 rapidement : 2 méthodes simples et efficaces

8 heures ago Julien Castex
RPCFirewall - Firewall RPC Windows

Protégez vos systèmes Windows avec RPCFirewall : Tutoriel complet

11 heures ago Julien Castex
ChatGPT - OpenAI a perturbé plus de 20 opérations malveillantes

OpenAI lutte contre les cybercriminels avec ChatGPT

13 heures ago Julien Castex

Vous avez peut-être manqué

The Until Dawn movie has a release date, and it won't be too long until you get to complain that they didn't go with your favourite ending

Sony annonce la date de sortie du film live-action Until Dawn pour avril 2025.

14 minutes ago Alex Lopez
Unlocking your Pixel 9's bootloader will disable these AI features

Les fonctionnalités de sécurité du réseau cellulaire d’Android 15 ne sont pas disponibles dans la version stable

31 minutes ago Julien Castex
Samsung shares its own Galaxy Ring unboxing, months after its launch

Samsung Galaxy Ring : unboxing, caractéristiques et prix. Découvrez le nouveau wearable de Samsung!

2 heures ago Romain Barry
Motorola is developing AI LAMs for smartphones

Motorola prépare l’arrivée d’une intelligence artificielle révolutionnaire

2 heures ago Julien Castex