Siber güvenlik araştırmacıları, WordPress için LiteSpeed Cache eklentisinde kimliği doğrulanmamış kullanıcıların yönetici ayrıcalıkları elde etmesine izin verebilecek kritik bir güvenlik açığını ortaya çıkardı.
Patchstack’ten Rafie Muhammad geçen hafta yayınladığı raporda, “Eklenti, kimliği doğrulanmamış herhangi bir ziyaretçinin yönetici düzeyinde erişim elde etmesine ve ardından kötü amaçlı eklentilerin yüklenip kurulmasına olanak tanıyan, kimliği doğrulanmamış ayrıcalık yükseltme güvenlik açığı ile karşı karşıyadır” dedi.
CVE-2024-28000 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, 13 Ağustos 2024’te yayınlanan eklentinin 6.4 sürümünde düzeltildi. 6.3.0.1 ve öncesi de dahil olmak üzere eklentinin tüm sürümlerini etkilemekte olduğu söylendi.
Özetle, CVE-2024-28000 kimliği doğrulanmamış bir saldırganın kullanıcı kimliğini taklit ederek yönetici düzeyinde bir kullanıcı olarak kaydolmasını mümkün kılmakta ve bu sayede savunmasız bir WordPress sitesini ele geçirme ayrıcalığı elde etmekte.
Saldırılardan korunmak için
- Sisteminizde her zaman en güncel güvenlik önlemleri kullanın,
- Çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulama kullanın,
- Kaynağı güvenilir olmayan e-postaları açmayın,
- Sadece güvenilir web sitelerinden uygulama ve yazılım indirin,
- Şirketinizde kullanıcı farkındalığı eğitimlerine önem verin.
