Une faille de sécurité critique a été découverte dans le plugin LiteSpeed Cache de WordPress, affectant potentiellement plus de 5 millions de sites Web dans le monde. Cette vulnérabilité permet aux pirates d'obtenir des droits d'administrateur et de télécharger des fichiers et des plugins malveillants, ce qui représente un risque important pour les sites concernés.
La vulnérabilité a été signalée pour la première fois à Patchstack, via son programme WordPress Bug Bounty, qui incite les chercheurs à signaler les problèmes de sécurité en offrant des récompenses en espèces. La faille a été découverte par un chercheur qui avait droit à une prime de 14 400 USD, et Patchstack a travaillé en étroite collaboration avec le développeur du plugin pour corriger la vulnérabilité avant de la rendre publique.
Oliver Sild, le fondateur de Patchstack, a évoqué la gravité de la vulnérabilité avec Search Engine Journal, soulignant les risques potentiels liés à la large base d'installation du plugin. « C'est une vulnérabilité critique, rendue particulièrement dangereuse en raison de sa large base d'installation. Les pirates informatiques sont en train de l'examiner en ce moment même », a déclaré Sild. Bien qu'aucune tentative d'exploitation à grande échelle n'ait été signalée, Sild a averti que ce n'était qu'une question de temps avant que des pirates informatiques ne tentent de tirer parti de la faille.
La vulnérabilité provient d'une fonctionnalité du plugin LiteSpeed Cache qui crée un utilisateur temporaire pour explorer le site Web et générer un cache de pages Web. Ce cache accélère le chargement des pages Web en réduisant la nécessité pour le serveur de récupérer les données de la base de données à plusieurs reprises. Cependant, la faille de sécurité réside dans la fonction de simulation d'utilisateur du plugin, qui est protégée par un hachage de sécurité faible. Patchstack a expliqué que ce hachage utilise des valeurs connues, ce qui le rend vulnérable à l'exploitation.
À la lumière de cette découverte, il est fortement conseillé aux propriétaires de sites WordPress utilisant le plugin LiteSpeed Cache de mettre à jour leurs sites immédiatement. La vulnérabilité a été corrigée dans la version 6.4.1, publiée le 19 août 2024. Pour ceux qui utilisent la solution de sécurité WordPress Patchstack, une atténuation instantanée de la vulnérabilité a été fournie, garantissant une protection avant même la publication du correctif officiel. Patchstack propose à la fois une version gratuite de sa solution de sécurité et une version payante, qui ne coûte que 5 $ par mois.