Uma falha de segurança grave foi descoberta no plugin LiteSpeed Cache para WordPress, afetando milhões de sites que utilizam essa ferramenta de otimização. A vulnerabilidade, identificada como CVE-2024-50550 e com pontuação 8,1 no CVSS, permite que invasores obtenham acesso de administrador sem autenticação, facilitando a instalação de plugins maliciosos. A atualização que corrige o problema está disponível na versão 6.5.2 do plugin.
A falha decorre de uma função chamada is_role_simulation, responsável por um sistema de simulação de papéis no LiteSpeed Cache. Ela utiliza um hash de segurança fraco, que pode ser forçado para simular um usuário autenticado, inclusive com privilégios de administrador. Para que o ataque funcione, é preciso que o plugin esteja configurado com parâmetros específicos na função “Crawler”, como ativação da simulação de papel e ajuste de carga do servidor. A atualização desativou a simulação e aprimorou a geração de hashes com valores aleatórios mais seguros.
Esta é a terceira vulnerabilidade reportada no LiteSpeed nos últimos dois meses, após as CVE-2024-44000 e CVE-2024-47374. A Patchstack, empresa de segurança digital, recomenda que os administradores de sites fiquem atentos e instalem sempre as atualizações mais recentes, para evitar possíveis brechas de segurança.
Outro alerta dos especialistas de cibersegurança envolve a disputa legal entre a Automattic e a WP Engine, que levou alguns desenvolvedores a abandonarem o repositório do WordPress.org, o que pode comprometer a segurança dos plugins. Pesquisadores advertem que plugins descontinuados não recebem mais atualizações de segurança, expondo sites a vulnerabilidades exploráveis por hackers.