Peneliti keamanan siber telah menemukan kelemahan keamanan kritis lainnya dalam plugin LiteSpeed Cache untuk WordPress yang dapat memungkinkan pengguna tak terautentikasi untuk mengambil alih akun sembarangan.
Kerentanan tersebut, yang dilacak sebagai CVE-2024-44000 (skor CVSS: 7.5), memengaruhi versi sebelum dan termasuk 6.4.1. Kerentanan tersebut telah diatasi dalam versi 6.5.0.1.
“Plugin tersebut memiliki kerentanan pengambilalihan akun yang tidak diautentikasi yang memungkinkan setiap pengunjung yang tidak diautentikasi untuk mendapatkan akses autentikasi ke setiap pengguna yang masuk dan yang lebih parah lagi dapat memperoleh akses ke peran tingkat Administrator yang setelahnya plugin berbahaya dapat diunggah dan diinstal,” kata peneliti Patchstack Rafie Muhammad.
Penemuan ini mengikuti analisis keamanan yang ekstensif terhadap plugin tersebut, yang sebelumnya mengarah pada identifikasi kelemahan eskalasi hak istimewa yang kritis (CVE-2024-28000, skor CVSS: 9,8). LiteSpeed Cache adalah plugin caching populer untuk ekosistem WordPress dengan lebih dari 5 juta instalasi aktif.
Kerentanan baru ini berasal dari fakta bahwa berkas log debug bernama “/wp-content/debug.log” terekspos ke publik, yang memungkinkan penyerang tak terotentikasi melihat informasi sensitif yang mungkin terdapat dalam berkas tersebut.
Ini juga dapat mencakup informasi kuki pengguna yang ada dalam header respons HTTP, yang secara efektif memungkinkan pengguna untuk masuk ke situs yang rentan dengan sesi apa pun yang secara aktif valid.
Tingkat keparahan cacat yang lebih rendah disebabkan oleh prasyarat bahwa fitur debug harus diaktifkan di situs WordPress agar berhasil. Atau, hal ini juga dapat memengaruhi situs yang telah mengaktifkan fitur log debug di beberapa titik di masa lalu, tetapi gagal menghapus berkas debug.
Penting untuk dicatat bahwa fitur ini dinonaktifkan secara default. Patch mengatasi masalah tersebut dengan memindahkan berkas log ke folder khusus di dalam folder plugin LiteSpeed (“/wp-content/litespeed/debug/”), mengacak nama berkas, dan menghilangkan opsi untuk mencatat kuki di berkas tersebut.
Pengguna disarankan untuk memeriksa instalasi mereka guna mengetahui keberadaan “/wp-content/debug.log” dan mengambil langkah-langkah untuk membersihkannya jika fitur debugging telah (atau pernah) diaktifkan.
Disarankan juga untuk menetapkan aturan .htaccess untuk menolak akses langsung ke berkas log karena pelaku jahat masih dapat mengakses berkas log baru secara langsung jika mereka mengetahui nama berkas baru tersebut melalui metode coba-coba.
“Kerentanan ini menyoroti pentingnya memastikan keamanan dalam menjalankan proses log debug, data apa yang tidak boleh dicatat, dan bagaimana berkas log debug dikelola,” kata Muhammad.