Siber güvenlik araştırmacıları, WordPress için LiteSpeed Cache eklentisinde kimliği doğrulanmamış kullanıcıların yönetici ayrıcalıkları elde etmesine izin verebilecek kritik bir güvenlik açığını ortaya çıkardı.

Patchstack'ten Rafie Muhammad geçen hafta yayınladığı raporda, "Eklenti, kimliği doğrulanmamış herhangi bir ziyaretçinin yönetici düzeyinde erişim elde etmesine ve ardından kötü amaçlı eklentilerin yüklenip kurulmasına olanak tanıyan, kimliği doğrulanmamış ayrıcalık yükseltme güvenlik açığı ile karşı karşıyadır" dedi.

CVE-2024-28000 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, 13 Ağustos 2024'te yayınlanan eklentinin 6.4 sürümünde düzeltildi. 6.3.0.1 ve öncesi de dahil olmak üzere eklentinin tüm sürümlerini etkilemekte olduğu söylendi.

Özetle, CVE-2024-28000 kimliği doğrulanmamış bir saldırganın kullanıcı kimliğini taklit ederek yönetici düzeyinde bir kullanıcı olarak kaydolmasını mümkün kılmakta ve bu sayede savunmasız bir WordPress sitesini ele geçirme ayrıcalığı elde etmektedir.

Saldırılardan korunmak için ise bizim almamız gereken tedbirlerden bazıları;

• Sisteminizde her zaman en güncel güvenlik önlemleri kullanmalıdır,

• Çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulama kullanılmalıdır,

• Kaynağı güvenilir olmayan e-postalar açılmamalıdır,

• Sadece güvenilir web sitelerinden uygulama ve yazılım indirilmelidir

• Şirketinizde kullanıcı farkındalığı eğitimlerine önem verilmelidir.