WordPress-ի LiteSpeed Cache հավելվածում նոր խոցելիություն է բացահայտվել, որը հաքերներին թույլ է տալիս համակարգերում և ցանցերում ընդլայնել իրենց հնարավորություններն ու արտոնությունները։
Խոցելիությունը որակվում է որպես CVE-2023-40000։ Ներկա պահին այն վերացվել է դեռևս միայն 5.7.0.1 տարբերակում:
LiteSpeed Cache–ն օգտագործվում է կայքի աշխատանքը բարելավելու համար: Այն ավելի քան հինգ միլիոն բեռնում ունի: Plugin-ի վերջին 6.1 տարբերակը թողարկվել է 2024 թվականի փետրվարի 5-ին։
WordPress-ի փոխանցմամբ CVE-2023-40000-ը օգտատերերի user input sanitization–ի և output–ի բացակայության արդյունքն է: Խոցելիությունն արմատավորված է update_cdn_status() անունով ֆունկցիայի մեջ։
Wordfence-ի բացահայտան արդյունքում ևս մեկ XSS խոցելիություն նկատվեց նույն հավելվածում (CVE-2023-4372, CVSS կատալոգում միավորը՝ 6.4): Այն հասցեագրված է 5.7 տարբերակին։
«Սա հաքերներին հնարավորթյուն է տալիս արտոնություններ ստանալ և կամայական վեբ սկրիպտներ ներմուծել էջեր, որոնք օգտատերերի մուտք գործելուց անմիջապես հետո սկսում են ակտիվանալ», – նշում է Իսթվան Մարտոնը:
Աղբյուրը՝ https://thehackernews.com/
