Embora esse ataque exija que o navegador seja ativado (desativado por padrão) e usado pelo menos uma vez para gerar o hash, os pesquisadores também descobriram que um manipulador Ajax inseguro pode ser chamado para acionar a geração de hash. “Isso significa que todos os sites que usam o LiteSpeed Cache – e não aqueles com o recurso de rastreamento ativado – são vulneráveis”, disse o relatório.
Os sistemas Windows não são afetados
Os sistemas Windows não estão imunes à vulnerabilidade, continuou o relatório, porque a função necessária para gerar o hash não está disponível no Windows, o que significa, “significa que o hash não pode ser gerado em instâncias WordPress baseadas em Windows, o que torna a vulnerabilidade explorável por outros [operating systems] como ambientes Linux.”
LiteSpeed ”recomenda fortemente” que os usuários atualizem para a versão 6.4 ou superior do plug-in imediatamente e verifiquem as listas de usuários de seus sites para encontrar quaisquer contas desconhecidas com direitos de administrador e removê-las. Se as melhorias não acontecerem imediatamente, forneça medidas de mitigação temporárias em uma postagem no blog explicando o problema.
