Plugin do WordPress “LiteSpeed Cache” com vulnerabilidade grave
O plugin de WordPress LiteSpeed Cache é bastante popular para realizar a cache de conteúdos em sites, e a sua versão gratuita é bastante usada em diferentes plataformas. No entanto, foi recentemente descoberta uma vulnerabilidade na mesma que, quando explorada, pode permitir o acesso administrativo aos sites.
De acordo com os dados do portal de plugins da WordPress, o LiteSpeed Cache é usado atualmente com mais de seis milhões de sites WordPress, o que é um valor bastante elevado e que pode deixar muitas instalações abertas a ataques.
A falha permite que os atacantes possam conseguir obter acesso a permissões administrativas no site. Embora existam algumas condições nas configurações do plugin que necessitam de estar aplicadas, para a falha ser explorada, ainda assim abre a possibilidade de os sites serem comprometidos.
De acordo com o investigador Rafie Muhammad, responsável pela descoberta, a falha pode permitir que os atacantes consigam adivinhar de forma relativamente simples a encriptação usada para acesso administrativo do plugin, e desta forma, possam obter acesso praticamente ilimitado aos sites.
A falha foi inicialmente descoberta a 23 de Setembro de 2024, tendo sido corrigida com a versão 6.5.2 do plugin, lançada em 17 de Outubro de 2024. Os dados do diretório de plugins do WordPress indicam que dois milhões de sites já realizaram a atualização, mas ainda existem mais de 4 milhões que estão potencialmente abertos a ataques.
Tendo em conta que a falha é agora conhecida, é bastante provável que os atacantes comecem a usar a mesma para ataques diretos a sites desatualizados. Para os administradores de sites WordPress a recomendação passa por atualizar os mesmos o mais rapidamente possível.