Uma falha de alta gravidade que afeta o plugin LiteSpeed Cache para WordPress está sendo ativamente explorada por atores maliciosos para criar contas de administrador falsas em sites suscetíveis. As descobertas são do WPScan, que afirmou que a vulnerabilidade (CVE-2023-40000, pontuação CVSS: 8,3) tem sido utilizada para configurar usuários administradores falsos com os nomes de usuário wpsupp‑user e wp‑configuser.

A CVE-2023-40000, que foi divulgada pela Patchstack em fevereiro de 2024, é uma vulnerabilidade de script entre sites armazenada (XSS) que poderia permitir que um usuário não autenticado aumentasse os privilégios por meio de solicitações HTTP especialmente elaboradas.

A falha foi corrigida em outubro de 2023 na versão 5.7.0.1. Vale ressaltar que a versão mais recente do plugin é a 6.2.0.1, que foi lançada em 25 de abril de 2024.

O LiteSpeed Cache possui mais de 5 milhões de instalações ativas, com estatísticas mostrando que versões além das 5.7, 6.0, 6.1 e 6.2 ainda estão presentes em 16,8% de todos os sites.

Para mitigar possíveis ameaças, os usuários estão sendo aconselhados a aplicar as últimas correções, revisar todos os plugins instalados e excluir arquivos e pastas suspeitos. A criação de contas de administrador em sites do WordPress pode ter graves consequências, pois permite que o ator malicioso ganhe controle total sobre o site e realize ações arbitrárias, que vão desde a injeção de malware até a instalação de plugins maliciosos.

A atividade semelhante ao Balada Injector aproveita falhas de segurança recentemente divulgadas em plugins do WordPress para injetar scripts externos que se fazem passar por serviços de CDN ou análise da web. Até o momento, 17.449 sites foram comprometidos com o Mal.Metrica em 2024.

“Os proprietários de sites no WordPress podem querer considerar habilitar as atualizações automáticas para arquivos principais, plugins e temas”, disse Martin. “Os usuários regulares da web também devem estar atentos a clicar em links que pareçam fora do lugar ou suspeitos.”