CRITICAL✓ PATCH🇬🇧 English

CVE-2024-44000

LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania

CVSS 9.8v3.1pub. 2024-10-20upd. 2026-04-23

Wtyczka LiteSpeed Cache dla WordPress w wersjach poniżej 6.5.0.1 nieprawidłowo chroni dane uwierzytelniające, umożliwiając atakującemu ominięcie mechanizmu logowania bez posiadania jakichkolwiek uprawnień. Podatność uzyskała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

Insufficiently Protected Credentials vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Authentication Bypass.This issue affects LiteSpeed Cache: from n/a through < 6.5.0.1.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej ochrony przechowywanych lub przesyłanych danych uwierzytelniających (CWE-522). Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może uzyskać dostęp do chronionych danych logowania. Na tej podstawie możliwe jest ominięcie mechanizmu uwierzytelnienia i nieautoryzowane przejęcie kont użytkowników witryny WordPress.

Skutki

Atakujący może przejąć dowolne konto użytkownika w witrynie WordPress, w tym konto administratora, uzyskując pełną kontrolę nad treścią i konfiguracją serwisu. W konsekwencji możliwe jest dalsze kompromitowanie środowiska, instalacja złośliwego oprogramowania lub kradzież danych.

Mitygacja

Należy natychmiast zaktualizować wtyczkę LiteSpeed Cache do wersji 6.5.0.1 lub nowszej. Aktualizację można przeprowadzić bezpośrednio z panelu administracyjnego WordPress lub pobrać ze strony producenta. Zaleca się również przegląd logów dostępu w celu wykrycia ewentualnych prób nieautoryzowanego logowania.

Kogo dotyczy

Wtyczka LiteSpeed Cache dla WordPress w wersjach od n/a do poniżej 6.5.0.1

Uwagi

Szczegółowy opis podatności opublikowany został przez Patchstack. Podatność określana jest jako 'unauthenticated account takeover' — nieuwierzytelnione przejęcie konta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Litespeedtech Litespeed Cache

    APP
    Litespeedtech
    < 6.5.0.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-28000CRITICAL9.8PL ✓ten sam produkt

Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress

CVE-2024-50550HIGH8.1ten sam produkt

Incorrect Privilege Assignment vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows ...

CVE-2024-47637HIGH8.8ten sam produkt

Relative Path Traversal vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Path Tr...

CVE-2024-47374HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in LiteSpee...

CVE-2023-45000HIGH8.2ten sam produkt

Missing Authorization vulnerability in LiteSpeed Technologies LiteSpeed Cache.This issue affects LiteSpeed Cac...