Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Wordpress-Plug-in: Abermals gravierende SicherheitslĂĽcke in Litespeed Cache

Auf mehr als sechs Millionen Websites lauert eine schwerwiegende Schwachstelle im Wordpress-Plug-in Litespeed Cache. Ein Update steht bereit.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Laptop zeigt Wordpress-Logo, Viren fliegen herum

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Das Wordpress-Plug-in Litespeed Cache ist äußerst populär. Es kommt auf mehr als sechs Millionen aktive Installationen und dient der Website-Beschleunigung und -Optimierung. Aufgrund einer gravierenden Schwachstelle in dem Plug-in – die Dritte innerhalb kurzer Zeit – sind die damit ausgestatteten Webseiten gefährdet.

Ein Beitrag beim IT-Sicherheitsunternehmen Patchstack erörtert die Sicherheitslücke. Demnach handelt es sich um eine sogenannte Stored Cross Site Scripting-Lücke, durch die nicht authentifizierte Angreifer sensible Informationen abgreifen und ihre Rechte auf der Wordpress-Website ausweiten können – mit einer einzigen HTTP-Anfrage. In der Schwachstellenzusammenfassung schreiben die IT-Forscher, dass Angreifer dadurch bösartige Skripte wie Redirectors, Werbung und anderen HTML-Code einschleusen können, die beim Besuch von Gästen auf der Seite ausgeführt werden (CVE-2024-47374, CVSS 7.1, Risiko "hoch").

Wordpress-Plug-in: Aktualisierte Software

Die Schwachstelle betrifft Litespeed Cache bis einschlieĂźlich Version 6.5.0.2. Seit einer Woche ist die aktualisierte Fassung Litespeed Cache 6.5.1 verfĂĽgbar, die die SicherheitslĂĽcke abdichtet. Diese oder neuere Versionen sollten Admins von Wordpress-Instanzen mit dem verwundbaren Plug-in umgehend installieren. Die IT-Analysten von Patchstack halten es fĂĽr sehr wahrscheinlich, dass die LĂĽcke in KĂĽrze in freier Wildbahn missbraucht wird.

Das ist seit Ende August bereits die dritte riskante Sicherheitslücke in Litespeed Cache, die die zahlreichen damit ausgestatteten Wordpress-Instanzen in Gefahr bringt. Im August erlaubte eine als kritisch eingestufte Lücke Angreifern aus dem Netz, ohne vorherige Authentifizierung einen administrativen Nutzer zu registrieren und die Wordpress-Instanz dann vollständig zu übernehmen (CVE-2024-28000, CVSS 9.8, Risiko kritisch). Im September entdeckten Patchstack-Forscher, dass das Debug-Feature alle HTTP-Anfragen mit den Session-Cookies protokolliert. Angreifer konnten hier ansetzen, um sich Admin-Rechte zu verschaffen (CVE-2024-44000, CVSS 9.8, kritisch).

(dmk)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten