Janne Yli-Korhonen
22. elokuuta, 2024 11:58
Sisällönhallintaohjelmisto WordPressin LiteSpeed Cache WordPress -lisäosasta on löytynyt kriittinen haavoittuvuus, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus varoittaa.
Kyberturvallisuuskeskus kertoo, että lisäosasta löydetty haavoittuvuus johtuu huonosti toteutetusta tiivistearvon generoinnista, joka käyttää tunnettuja arvoja ja turvatonta satunnaislukugeneraattoria.
Haavoittuvuutta hyväksikäyttämällä hyökkääjä pystyy luomaan järjestelmään käyttäjätunnuksia, myös pääkäyttäjätason käyttäjätunnuksen, ja tällä tavalla ottaa WordPress järjestelmän haltuun.
Haavoittuvuus on korjattu versiossa 6.4 ja hyväksikäyttö on mahdollista Linux-pohjaisessa käyttöjärjestelmässä. Windows-pohjaisessa versiossa hyväksikäyttö ei tämän hetken tietojen mukaan ole mahdollista.
Kyberturvallisuuskeskuksen mukaan haavoittuvuuden hyväksikäyttöä ei ole havaittu, mutta samassa tuotteessa olevia muita haavoittuvuuksia on aiemmin käytetty laajasti hyväksi. Lisäosa on kuitenkin hyvä päivittää pikimmiten, mikäli se on käytössä.