Se você usa o WordPress, atenção! Milhões de sites estão vulneráveis devido a uma grave falha de segurança no plugin LiteSpeed Cache. A brecha, identificada como CVE-2024-28000, permite que qualquer visitante mal-intencionado se torne administrador do site, sem precisar de autenticação. O problema está na versão 6.3.0.1 do LiteSpeed Cache, onde uma verificação de hash fraca facilita o escalonamento de privilégios.
O que isso significa? Em resumo, um hacker só precisa do ID do administrador para tomar o controle total do site. Depois disso, ele pode instalar plugins maliciosos, redirecionar tráfego, mudar configurações críticas, e até mesmo colocar em risco os visitantes do site. Isso é muito sério!
Felizmente, a falha foi descoberta no início de agosto e uma correção foi lançada na versão 6.4 do plugin, disponível desde o dia 13 de agosto. Mas o problema não acaba aqui: quase 35% dos sites que usam o LiteSpeed Cache ainda estão rodando a versão vulnerável, deixando muitos administradores e visitantes em risco.
A boa notícia é que muitos já fizeram a atualização, com um pico de quase um milhão de downloads na última segunda-feira. Mas se você ainda não atualizou, faça isso agora! Essa não é a primeira vez que o LiteSpeed Cache apresenta problemas em 2024—em maio, uma outra falha permitia a criação de usuários administradores via ataque de cross-site scripting.
A recomendação é clara: atualize para a versão 6.4.1 do LiteSpeed Cache o quanto antes. Chloe Chamberland, diretora de inteligência de ameaças do plugin Wordfence, deixou o alerta: “Não temos dúvidas de que essa vulnerabilidade será ativamente explorada em breve”. Portanto, não perca tempo e proteja seu site!
