Une faille critique dans l'extension WordPress LiteSpeed Cache, utilisée par plus de 6 millions de sites, a été découverte. Elle permet à un attaquant de prendre le contrôle total d'un site en volant les cookies de session des administrateurs. Un correctif est disponible, mais des millions de sites restent vulnérables.
Le plugin LiteSpeed Cache est l'une des solutions les plus populaires pour accélérer le chargement des sites WordPress. Après une première faille de sécurité en mars 2024, il fait de nouveau parler de lui.
Le chercheur en sécurité Rafie Muhammad de Patchstack a identifié le 22 août 2024 une vulnérabilité critique dans sa fonctionnalité de journalisation de débogage. Celle-ci enregistre tous les en-têtes de réponse HTTP, y compris les cookies de session permettant d'authentifier les utilisateurs.
Une vulnérabilité facile à exploiter
En accédant au fichier de log « debug.log », généralement situé dans le répertoire « /wp-content/plugins/litespeed-cache/ », un attaquant peut récupérer ces cookies et usurper l'identité de n'importe quel utilisateur connecté, y compris les administrateurs du site. Il suffit pour cela que le mode de débogage du plugin ait été activé au moins une fois par le passé.
Concrètement, si un administrateur s'est connecté au back-office de WordPress pendant que cette option était active, ses cookies de session ont pu être enregistrés dans le fichier de log. Un pirate scannant les sites à la recherche de ce fichier accessible pourrait alors les voler et prendre le contrôle total du site, sans même avoir besoin d'un compte.
Une mise à jour critique à déployer d'urgence
Pour corriger cette faille, LiteSpeed Technologies a publié le 4 septembre dernier la version 6.5.0.1 de son extension. Le fichier de log a été déplacé dans un sous-répertoire avec un nom aléatoire, l'option permettant de journaliser les cookies a été supprimée, et des restrictions d'accès ont été ajoutées pour empêcher sa consultation directe.
Mais alors que plus de 6 millions de sites utilisent ce plugin, seuls 375 000 ont déployé cette mise à jour de sécurité le jour de sa sortie. Cela laisse plus de 5,6 millions de sites WordPress encore vulnérables à ce type d'attaque et devant être patchés de toute urgence.
En attendant, les administrateurs de sites utilisant une ancienne version de LiteSpeed Cache sont invités à supprimer manuellement tout fichier « debug.log » existant, qui pourrait contenir des cookies de session valides. Ajouter une règle .htaccess bloquant l'accès direct aux logs peut aussi aider à se prémunir contre les tentatives d'exploitation. Attention, si vous n'êtes pas familier avec ce vocabulaire, faites appel à un webmaster confirmé.
Source : Bleeping Computer
