Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-01720

CVSS: 5.7

25.10.2023

Уязвимость функции update_cdn_status() плагина LiteSpeed Cache for WordPress (LSCWP) системы управления содержимым сайта WordPress , позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или повысить свои привилегии

Уязвимость функции update_cdn_status() плагина LiteSpeed Cache for WordPress (LSCWP) системы управления содержимым сайта WordPress связана с непринятием мер по защите структуры веб-страниицы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации или повысить свои привилегии путем отправки специально созданного HTTP-запроса

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	25.10.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://wordpress.org/plugins/litespeed-cache/#developers

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-79	CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-40000	WordPress LiteSpeed Cache plugin <= 5.7 - Unauthenticated Site Wide Stored XSS vulnerability

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
6.8	MEDIUM	2.0	AV:N/AC:L/Au:S/C:C/I:N/A:N
5.7	MEDIUM	3.0	AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-40000

Вендор:	LiteSpeed Technologies
Тип ПО:	Прикладное ПО информационных систем
Наименование ПО:	LiteSpeed Cache for WordPress (LSCWP)
Версия ПО:	до 5.7.0.1 (LiteSpeed Cache for WordPress (LSCWP))
Ссылки на источники:	https://www.securitylab.ru/news/546363.php https://wordpress.org/plugins/litespeed-cache/ https://securityaffairs.com/159667/hacking/litespeed-cache-plugin-xss.html https://xakep.ru/2024/03/01/litespeed-cache-xss/ https://github.com/rxerium/CVE-2023-40000?tab=readme-ov-file https://github.com/rxerium/CVE-2023-40000/commit/5ed32c64e939e198885e41b5e0e3636c8094e0ff

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-01720

BDU:2024-01720

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей