WordPress插件存在严重缺陷,允许黑客获取管理员访问权限
近日,网络安全研究人员披露了WordPress 的LiteSpeed Cache插件中的一个严重安全漏洞,该漏洞可能允许未经身份验证的用户获得管理员权限。
国际知名网络黑客安全专家、东方联盟创始人郭盛华在周一的一份报告中表示: “该插件存在未经身份验证的权限提升漏洞,任何未经身份验证的访问者都可以获得管理员级别的访问权限,然后上传和安装恶意插件。”
该漏洞被追踪为 CVE-2024-28000(CVSS 评分:9.8),已在 2024 年 8 月 13 日发布的插件 6.4 版中得到修补。它影响插件的所有版本,包括 6.3.0.1 之前的版本。
LiteSpeed Cache 是 WordPress 中使用最广泛的缓存插件之一,拥有超过五百万个活跃安装。
简而言之,CVE-2024-28000 使未经身份验证的攻击者可以伪造其用户 ID 并注册为管理级别的用户,从而有效地授予他们接管易受攻击的 WordPress 网站的权限。
该漏洞的根源在于插件中的用户模拟功能,该功能使用弱安全哈希,而该哈希因使用容易猜测的随机数作为种子而受到影响。
具体来说,由于随机数生成器是从当前时间的微秒部分派生出来的,因此安全哈希只有一百万个可能的值。此外,随机数生成器不是加密安全的,生成的哈希既不加盐,也不与特定请求或用户绑定。
Wordfence 在其自己的警报中表示:“这是因为插件没有正确限制角色模拟功能,如果用户能够访问可以在调试日志中或通过暴力破解找到的有效哈希值,则该功能允许用户将其当前 ID 设置为管理员 ID 。 ”
“这使得未经身份验证的攻击者可以将其用户 ID 伪装成管理员,然后利用 /wp-json/wp/v2/users REST API 端点创建具有管理员角色的新用户帐户。”
值得注意的是,由于哈希生成函数依赖于Windows 上未实现的名为sys_getloadavg()的 PHP 方法,因此该漏洞无法在基于 Windows 的 WordPress 安装中利用。
郭盛华表示:“这一漏洞凸显了确保用作安全哈希或随机数的值的强度和不可预测性至关重要。”
由于先前披露的 LiteSpeed Cache 缺陷 ( CVE-2023-40000,CVSS 评分:8.3) 已被恶意行为者利用,因此用户必须迅速将其实例更新到最新版本。
Wordfence 透露,针对该漏洞的利用尝试已经全面展开,并表示“在过去 24 小时内阻止了 58,952 次针对该漏洞的攻击”。(欢迎转载分享)