CVE-2024-28000

LiteSpeed Cache, versões 1.9 a 6.3.0.1

Uma falha crítica no plugin LiteSpeed Cache pode permitir que invasores obtenham acesso de administrador a sites WordPress. Esse problema afeta mais de 5 milhões de sites, deixando as empresas expostas a graves riscos de segurança. A vulnerabilidade decorre de um hash de segurança fraco no recurso de simulação de usuário do plugin, possibilitando que um invasor remoto não autenticado obtenha direitos de administrador. O hash tem apenas um milhão de valores possíveis, permitindo ataques de força bruta que podem levar de várias horas a uma semana. A vulnerabilidade está sendo ativamente explorada, com mais de 30.000 tentativas de ataque bloqueadas em apenas 24 horas.

Atualize para a versão 6.4 ou superior para proteger seu site.

Como solução temporária, considere desativar o plugin vulnerável até que um patch esteja disponível.

Restrinja o acesso ao recurso de simulação de usuário do plugin para minimizar o risco de exploração.

Evite usar a funcionalidade de cache do plugin até que o problema seja resolvido.