Pesquisadores de segurança cibernética revelaram uma falha crítica no plugin LiteSpeed Cache para WordPress, que pode permitir que usuários não autenticados obtenham privilégios de administrador nos sites afetados. A vulnerabilidade, identificada como CVE-2024-28000, recebeu uma pontuação CVSS de 9,8, refletindo sua gravidade. Essa falha foi corrigida na versão 6.4 do plugin, lançada em 13 de agosto de 2024, e afeta todas as versões anteriores, incluindo a 6.3.0.1.

O LiteSpeed Cache é um dos plugins de cache mais populares no ecossistema WordPress, com mais de cinco milhões de instalações ativas. A falha permite que um invasor não autenticado falsifique seu ID de usuário, registrando-se como um administrador, o que efetivamente concede controle total sobre o site vulnerável. Isso inclui a capacidade de instalar e carregar plugins maliciosos, comprometendo ainda mais a segurança do site.

A vulnerabilidade está relacionada a um recurso de simulação de usuário no plugin, que utiliza um hash de segurança fraco. Esse hash é derivado de um número aleatório que é facilmente previsível, pois é gerado a partir de microssegundos do tempo atual. Além disso, o gerador de números aleatórios não é criptograficamente seguro e o hash gerado não é protegido adequadamente, o que facilita a exploração da falha.

De acordo com a Wordfence, o plugin não restringe corretamente a funcionalidade de simulação de função, permitindo que um invasor configure sua ID de usuário como a de um administrador, caso consiga obter um hash válido. Esse hash pode ser encontrado em logs de depuração ou através de ataques de força bruta. Uma vez que o invasor obtém privilégios de administrador, ele pode criar novas contas de administrador utilizando o ponto de extremidade da API REST do WordPress.

A rápida atualização dos sites WordPress que utilizam o LiteSpeed Cache é essencial para mitigar os riscos associados a essa vulnerabilidade crítica.