Er is een kwetsbaarheid aangetroffen in de LiteSpeed Cache plugin. Deze gratis extensie, die meer dan 5 miljoen actieve installaties heeft, wordt gebruikt om de performance van WordPress sites te verbeteren. De ontwikkelaar had begin deze maand al een update met patch uitgerold, echter hebben nog niet alle gebruikers deze geïnstalleerd.
XSS kwetsbaarheid in LiteSpeed Cache plugin
De kwetsbaarheid in LiteSpeed Cache plugin betreft een zogeheten Cross-Site Scripting (XSS) kwetsbaarheid, welke het mogelijk maakt voor niet-geautoriseerde gebruikers om gevoelige informatie te verkrijgen door een HTTP request uit te voeren. De kwetsbaarheid werd ontdek door PatchStack, dat waarschuwt:
“Omdat de XSS payload als admin melding is geplaatst en de admin melding op elk wp-admin endpoint kan worden weergegeven, zou de kwetsbaarheid ook eenvoudig getriggerd kunnen worden door elke gebruiker die toegang heeft tot de wp-admin.”
Opvallend is dat vier maanden geleden, in oktober 2023, door Wordfence al een andere XSS kwetsbaarheid in dezelfde plugin werd aangetroffen. Deze werd gepatched in versie 5.7.
Update met patch
De tweede XSS-kwetsbaarheid in de plugin werd verholpen in versie 6.1, die op 5 februari 2024 werd uitgerold. Gebruikers van LiteSpeed Cache krijgen het dringende advies om de plugin zo snel mogelijk te updaten naar de meest recente versie. Dit is van cruciaal belang om misbruik van de kwetsbaarheid te voorkomen en de veiligheid en bereikbaarheid van je WordPress website te waarborgen. Voor uitgebreide informatie over deze kwetsbaarheid verwijzen we je naar de berichtgeving op PatchStack.com.
Lees ook: Zo maken hackers misbruik van kwetsbaarheden in WordPress plugins