Ernstige bug in de LiteSpeed Cache plugin en oplossing

Ernstige bug in LiteSpeed Cache plugin (update beschikbaar)

Een ernstige bug in LiteSpeed cache, een WordPress caching plugin met meer dan 5 miljoen actieve installaties, brengt miljoenen WordPress sites in gevaar. De ontwikkelaar van de plugin heeft een update met patch beschikbaar gemaakt, maar er is nog altijd een groot aantal gebruikers dat deze update nog niet geïnstalleerd heeft.

Over de bug in LiteSpeed Cache

Begin deze maand trof security onderzoeker John Blackborn een unauthenticated privilege escalation vulnerability of niet-geverifieerde privilege escalatie bug in de LiteSpeed Cache plugin aan. Succesvolle exploitatie van deze kwetsbaarheid maakt het voor elke niet-geverifieerde bezoeker mogelijk om admin toegang te verkrijgen tot websites die kwetsbare versies van de LiteSpeed Cache plugin draaien. Middels het installeren van malafide plugins, het aanpassen van instellingen, het doorverwijzen van webverkeer en/of het verspreiden van malware naar bezoekers kunnen de getroffen websites volledig worden overgenomen.

LiteSpeed Cache 6.4 security update

Blackborn rapporteerde de kwetsbaarheid via het bug bounty programma van Patchstack, waarop het LiteSpeed team via responsible disclosure op de hoogte werd gebracht. Ze ontwikkelden een patch, die op 13 augustus werd uitgerold met LiteSpeed Cache versie 6.4. Download statistieken van het officiële WordPress.org plugin directory laten echter zien dat de nieuwste versie nu door slechts 36.9% van de LiteSpeed Cache gebruikers is gedownload. Dat betekent dat meer dan de helft van alle WordPress sites waar de LiteSpeed Cache plugin geïnstalleerd is, nog steeds kwetsbaar zijn voor aanvallen.

Gebruikers van LiteSpeed Cache worden dringend geadviseerd om de plugin onmiddellijk te updaten naar de meest recente versie. Dat is nu 6.4.1.

Niet de eerste bug

Eerder dit jaar werd al een XSS kwetsbaarheid in LiteSpeed Cache aangetroffen. Ondanks het feit dat het LiteSpeed team toen ook snel handelde en binnen korte tijd na de ontdekking een update met patch uitrolde, bleek dat er al actief pogingen werden gedaan om websites die nog niet geüpdatet waren aan te vallen.

 

Lees ook: Veilig WordPress plugins updaten doe je zo!

Wil jij meer leren over Wordpress?

In de kennisbank vertellen we je alles over de belangrijkste onderwerpen

  • Snel en gemakkelijk contact met een WordPress expert
  • Ontvang als eerste nieuwtjes & leuke acties
  • Overleg met andere WordPress fans

Je WordPress vraag of probleem razendsnel opgelost met de hulp van een echte WordPress developer!

Join de grootste WordPress community van Nederland & stel je vraag via ons WordPress ticketsysteem.

Medaille-buddy

Blijf op de hoogte van het laatste WordPress nieuws.

Schrijf je in voor onze wekelijkse nieuwsbrief.