Либо админ повышает производительность, либо хакеры повышают привилегии.
В плагине LiteSpeed Cache для WordPress обнаружен недостаток, позволяющий злоумышленнику повысить свои привилегии. Об этом Для просмотра ссылки Войдиили Зарегистрируйся компания Patchstack в техническом отчете.
Уязвимость Stored XSS позволяет любому неаутентифицированному пользователю украсть конфиденциальную информацию, чтобы повысить привилегии на сайте WordPress, выполнив один HTTP-запрос. Уязвимость CVE-2023-40000 была устранена в октябре 2023 года в версии 5.7.0.1.
Для просмотра ссылки Войдиили Зарегистрируйся используется для улучшения производительности сайта и имеет более 5 млн. установок. Последняя версия плагина 6.1 выпущена 5 февраля 2024 года.
Отмечается, что CVE-2023-40000 является результатом отсутствия очистки пользовательского ввода и Для просмотра ссылки Войдиили Зарегистрируйся Уязвимость кроется в функции «update_cdn_status()» и может быть воспроизведена при установке по умолчанию.
Поскольку полезная нагрузка XSS размещается в виде уведомления администратора, а уведомление администратора может отображаться на любой конечной точке «wp-admin», ошибка может быть легко вызвана любым пользователем, имеющим доступ к административной панели.
В плагине LiteSpeed Cache для WordPress обнаружен недостаток, позволяющий злоумышленнику повысить свои привилегии. Об этом Для просмотра ссылки Войди
Уязвимость Stored XSS позволяет любому неаутентифицированному пользователю украсть конфиденциальную информацию, чтобы повысить привилегии на сайте WordPress, выполнив один HTTP-запрос. Уязвимость CVE-2023-40000 была устранена в октябре 2023 года в версии 5.7.0.1.
Для просмотра ссылки Войди
Отмечается, что CVE-2023-40000 является результатом отсутствия очистки пользовательского ввода и Для просмотра ссылки Войди
Поскольку полезная нагрузка XSS размещается в виде уведомления администратора, а уведомление администратора может отображаться на любой конечной точке «wp-admin», ошибка может быть легко вызвана любым пользователем, имеющим доступ к административной панели.
- Источник новости
- www.securitylab.ru