Uma falha de alta gravidade que afeta o plugin LiteSpeed Cache para WordPress está sendo ativamente explorada por atores maliciosos para criar contas de administrador falsas em sites vulneráveis.

As descobertas são do WPScan, que afirmou que a vulnerabilidade (CVE-2023-40000, pontuação CVSS: 8.3) tem sido utilizada para criar usuários admin falsos com os nomes wpsupp-user e wp-configuser.

A CVE-2023-40000, que foi divulgada pela Patchstack em fevereiro de 2024, é uma vulnerabilidade de script entre sites (XSS) armazenada que poderia permitir a um usuário não autenticado elevar privilégios por meio de solicitações HTTP especialmente elaboradas.

A falha foi corrigida em outubro de 2023 na versão 5.7.0.1. Vale ressaltar que a versão mais recente do plugin é a 6.2.0.1, que foi lançada em 25 de abril de 2024.

O LiteSpeed Cache tem mais de 5 milhões de instalações ativas, com estatísticas mostrando que versões diferentes de 5.7, 6.0, 6.1 e 6.2 ainda estão ativas em 16,8% de todos os sites.

Para mitigar possíveis ameaças, os usuários estão sendo aconselhados a aplicar as correções mais recentes, revisar todos os plugins instalados e excluir quaisquer arquivos e pastas suspeitos.

A criação de contas de administrador em sites WordPress pode ter graves consequências, pois permite que o ator malicioso ganhe controle total sobre o site e realize ações arbitrárias, que vão desde a inserção de malware até a instalação de plugins maliciosos.

Essa atividade explora falhas de segurança recentemente divulgadas em plugins do WordPress para injetar scripts externos que se passam por serviços de CDN ou análise da web. Até agora, em 2024, 17.449 sites foram comprometidos com Mal.Metrica.

“Os proprietários de sites WordPress podem considerar habilitar atualizações automáticas para arquivos principais, plugins e temas”, disse Martin. “Usuários regulares da web também devem ter cuidado ao clicar em links que parecem fora de lugar ou suspeitos.”