Atención, Apple: Las nuevas tabletas de Huawei incluyen un teclado en la caja.

Atención, Apple: Las nuevas tabletas de Huawei incluyen un teclado en la caja.

Cover Image for El plugin LiteSpeed Cache para WordPress presenta una vulnerabilidad de seguridad crítica.

El plugin LiteSpeed Cache para WordPress presenta una vulnerabilidad de seguridad crítica.

Se ha descubierto una nueva vulnerabilidad que permite a los actores maliciosos obtener acceso completo a sitios web afectados.

Investigadores en seguridad han detectado una nueva vulnerabilidad crítica en el plugin LiteSpeed Cache para WordPress, que permite a actores maliciosos hacerse con el control de sitios web. Cuatro meses después de haber subsanado una falla de scripting entre sitios no autenticada, este popular plugin de optimización se encontró expuesto a un bug conocido como "vulnerabilidad de toma de control de cuenta no autenticada". Esto significa que un visitante malintencionado que no esté autenticado podría aprovechar esta vulnerabilidad para acceder a cualquier usuario que esté registrado, incluidas las cuentas de administrador. Este acceso concede al atacante pleno control sobre el sitio web.

La vulnerabilidad, identificada como CVE-2024-44000, presenta un puntaje de severidad de 7.5. Las versiones 6.4.1 y anteriores están comprometidas, pero ya se ha lanzado un parche que actualiza LiteSpeed Cache a la versión 6.5.0.1. Se recomienda a los usuarios que efectúen esta actualización a la brevedad.

En cuanto a cómo funciona esta falla, los investigadores de Patchstack comentaron que LiteSpeed Cache ha mantenido el archivo debug.log expuesto públicamente, permitiendo que personas no autenticadas accedan a información confidencial que contiene. Además de las credenciales de inicio de sesión, este archivo incluye datos de cookies de los encabezados de respuesta HTTP, entre otros.

A pesar de la gravedad de la vulnerabilidad, se le otorgó un puntaje relativamente bajo ya que se debe tener habilitada la función de depuración en WordPress para que sea explotable, y esta se encuentra desactivada por defecto.

Patchstack subrayó la importancia crucial de asegurar el proceso de registro de logs de depuración, indicando qué datos no deben ser registrados y cómo debe gestionarse el archivo de logs.

LiteSpeed Cache se presenta como un plugin para el sistema de gestión de contenido WordPress, prometiendo velocidades de carga de páginas más rápidas, una mejor experiencia de usuario y mejoras en las posiciones de los resultados de búsqueda de Google. Su diseño está orientado a optimizar el rendimiento del sitio web al reducir los tiempos de carga, almacenando versiones estáticas de contenido dinámico. Cuando un usuario solicita una página, LSCache suministra la versión en caché, lo que minimiza la necesidad de que el servidor vuelva a generar la página continuamente, resultando en tiempos de respuesta más rápidos y una carga reducida en el servidor.

  • Seguridad
  • WordPress
  • Vulnerabilidades
Routers de D-Link están siendo hackeados para robar contraseñas de clientes, pero no hay solución.
CIBERSEGURIDAD, ROUTERS, VULNERABILIDAD
|