Een ernstige bug in LiteSpeed cache, een WordPress caching plugin met meer dan 5 miljoen actieve installaties, brengt miljoenen WordPress sites in gevaar. De ontwikkelaar van de plugin heeft een update met patch beschikbaar gemaakt, maar er is nog altijd een groot aantal gebruikers dat deze update nog niet geïnstalleerd heeft.
Over de bug in LiteSpeed Cache
Begin deze maand trof security onderzoeker John Blackborn een unauthenticated privilege escalation vulnerability of niet-geverifieerde privilege escalatie bug in de LiteSpeed Cache plugin aan. Succesvolle exploitatie van deze kwetsbaarheid maakt het voor elke niet-geverifieerde bezoeker mogelijk om admin toegang te verkrijgen tot websites die kwetsbare versies van de LiteSpeed Cache plugin draaien. Middels het installeren van malafide plugins, het aanpassen van instellingen, het doorverwijzen van webverkeer en/of het verspreiden van malware naar bezoekers kunnen de getroffen websites volledig worden overgenomen.
LiteSpeed Cache 6.4 security update
Blackborn rapporteerde de kwetsbaarheid via het bug bounty programma van Patchstack, waarop het LiteSpeed team via responsible disclosure op de hoogte werd gebracht. Ze ontwikkelden een patch, die op 13 augustus werd uitgerold met LiteSpeed Cache versie 6.4. Download statistieken van het officiële WordPress.org plugin directory laten echter zien dat de nieuwste versie nu door slechts 36.9% van de LiteSpeed Cache gebruikers is gedownload. Dat betekent dat meer dan de helft van alle WordPress sites waar de LiteSpeed Cache plugin geïnstalleerd is, nog steeds kwetsbaar zijn voor aanvallen.
Gebruikers van LiteSpeed Cache worden dringend geadviseerd om de plugin onmiddellijk te updaten naar de meest recente versie. Dat is nu 6.4.1.
Niet de eerste bug
Eerder dit jaar werd al een XSS kwetsbaarheid in LiteSpeed Cache aangetroffen. Ondanks het feit dat het LiteSpeed team toen ook snel handelde en binnen korte tijd na de ontdekking een update met patch uitrolde, bleek dat er al actief pogingen werden gedaan om websites die nog niet geüpdatet waren aan te vallen.