Miljoenen WordPress-sites kwetsbaar door kritiek lek in LiteSpeed Cache

[Captain Kirk]

Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht.

De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen.

 

bron: https://www.security.nl

[Captain Kirk]

WordPress-sites aangevallen via kritiek lek in LiteSpeed Cache

 

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost.

Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache voor het aanvallen van WordPress-sites, zo waarschuwt securitybedrijf Wordfence. Miljoenen websites hebben de update waarmee het probleem wordt verholpen nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.

Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost.

Afgelopen woensdag liet Wordfence al weten dat het op korte termijn misbruik van de kwetsbaarheid verwachtte. In het eigen dashboard meldt het securitybedrijf dat het de afgelopen 24 uur bijna dertigduizend aanvallen heeft geblokkeerd waarbij aanvallers via het beveiligingslek WordPress-sites probeerden aan te vallen. Beheerders die de update nog niet geïnstalleerd hebben worden opgeroepen dit te doen.