Уязвимость BDU:2024-07091

Идентификатор: BDU:2024-07091.

Наименование уязвимости: Уязвимость плагина LiteSpeed Cache for WordPress (LSCWP) системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ к файлу журнала отладки «/wp-content/debug.log».

Описание уязвимости: Уязвимость плагина LiteSpeed Cache for WordPress (LSCWP) системы управления содержимым сайта WordPress связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к файлу журнала отладки «/wp-content/debug.log»
Уязвимое ПО: Прикладное ПО информационных систем LiteSpeed Technologies LiteSpeed Cache for WordPress (LSCWP) до 6.5.0.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 18.08.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3146657%40litespeed-cache&new=3146657%40litespeed-cache&sfp_email=&sfph_mail=
https://patchstack.com/database/vulnerability/litespeed-cache/wordpress-litespeed-cache-plugin-6-5-0-1-unauthenticated-account-takeover-vulnerability.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-44000.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/litespeed-cache/litespeed-cache-641-unauthenticated-sensitive-information-exposure-via-log-files
https://vuldb.com/?id.276678
https://github.com/absholi7ly/CVE-2024-44000-LiteSpeed-Cache
https://github.com/gbrsh/CVE-2024-44000
https://www.securitylab.ru/news/551828.php