Een nieuwe ernstige beveiligingsfout is ontdekt in de populaire LiteSpeed Cache-plug-in voor WordPress, waardoor kwaadwillende actoren mogelijk willekeurige JavaScript-code kunnen uitvoeren onder bepaalde omstandigheden. Deze kwetsbaarheid, gevolgd als CVE-2024-47374, heeft een CVSS-score van 7,2 en treft alle versies van de plug-in tot en met 6.5.0.2.
De fout, die werd ontdekt door Patchstack Alliance-onderzoeker TaiYou, werd verholpen in versie 6.5.1 op 25 september 2024. Het probleem is een opgeslagen cross-site scripting (XSS)-kwetsbaarheid, die kan worden misbruikt om gevoelige informatie te stelen of om privilege-escalatie op een WordPress-site uit te voeren door middel van een enkele HTTP-aanvraag.
Achtergrond van de Kwetsbaarheid
De kwetsbaarheid ontstaat door de manier waarop de LiteSpeed Cache-plug-in de “X-LSCACHE-VARY-VALUE” HTTP-header verwerkt zonder voldoende sanering of escaping, wat het mogelijk maakt om willekeurige webscripts te injecteren. Belangrijk om te vermelden is dat de plug-in instellingen zoals “CSS Combine” en “Generate UCSS” vereist om een aanval succesvol te laten zijn.
Opslaggebaseerde XSS-aanvallen, zoals deze, kunnen worden misbruikt om schadelijke scripts permanent op een website op te slaan, bijvoorbeeld in een database of een opmerkingenveld. Dit betekent dat elk nietsvermoedende bezoeker die de geïnfecteerde webpagina opent, het kwaadwillige script onbewust zal uitvoeren.
Gevolgen en Risico’s
De risico’s van dergelijke kwetsbaarheden zijn aanzienlijk. Een kwaadwillende actor zou bijvoorbeeld de sessie van een geauthenticeerde gebruiker kunnen kapen en acties uitvoeren namens die gebruiker. Het meest zorgwekkende scenario is echter wanneer het account van een sitebeheerder wordt gekaapt, wat de aanvaller volledige controle over de website geeft en hen in staat stelt om nog destructievere aanvallen uit te voeren.
Met meer dan zes miljoen actieve installaties wereldwijd is LiteSpeed Cache een belangrijk doelwit voor cybercriminelen die op zoek zijn naar kwetsbare WordPress-sites. Dit maakt de recente patch cruciaal voor website-eigenaren die LiteSpeed gebruiken.
Vergelijkbare Kwetsbaarheden in WordPress-Plug-ins
De onthulling van deze kwetsbaarheid komt slechts een maand nadat een andere ernstige fout (CVE-2024-44000, CVSS-score: 7,5) in dezelfde plug-in werd opgelost, waarmee kwaadwillenden de controle over willekeurige accounts konden overnemen.
Daarnaast zijn er recent ook andere kritieke kwetsbaarheden ontdekt in populaire WordPress-plug-ins, waaronder de TI WooCommerce Wishlist-plug-in (CVE-2024-43917, CVSS-score: 9,3) en de Jupiter X Core-plug-in (CVE-2024-7772, CVSS-score: 9,8), die beide potentiële exploits hebben waarmee aanvallers aanzienlijke schade kunnen aanrichten.
Conclusie
Websitebeheerders die LiteSpeed Cache gebruiken, worden met klem aangeraden om hun plug-in onmiddellijk te updaten naar versie 6.5.1 om deze kwetsbaarheid te verhelpen en hun website te beschermen tegen mogelijke aanvallen. Het is ook belangrijk om regelmatig beveiligingsupdates uit te voeren en de veiligheidsinstellingen van plug-ins goed te controleren om dergelijke aanvallen te voorkomen.
Meer informatie over de kwetsbaarheid en de bijbehorende updates is te vinden in het rapport van Patchstack.