Alert!

5 Millionen Wordpress-Seiten gefährdet: Kritisches Leck in LiteSpeed Cache

Das Wordpress-Plug-in LiteSpeed Cache ist auf 5 Millionen Seiten installiert. Nun haben IT-Forscher eine kritische SicherheitslĂĽcke darin entdeckt.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Mann arbeitet an einer Wordpress-Seite auf einem Laptop

(Bild: David MG / Shutterstock.com)

Lesezeit: 2 Min.
Von

IT-Sicherheitsforscher haben im Wordpress-Plug-in LiteSpeed Cache eine kritische Sicherheitslücke entdeckt, die Angreifern das vollständige Kompromittieren einer Instanz ermöglicht. Das Plug-in ist Angaben von Wordfence zufolge auf mehr als 5 Millionen Webseiten im Einsatz. IT-Verantwortliche sollten zügig sicherstellen, dass die aktuelle Fassung des Plug-ins bei ihnen aktiv ist.

Aufgefallen ist die Lücke dadurch, dass sie mit einer neuen Plug-in-Version von LiteSpeed Cache vom Montag geschlossen wurde, erörtern die IT-Forscher von Wordfence in ihrer Sicherheitsmitteilung. "Wir haben herausgefunden, dass es nicht authentifizierten Angreifern möglich ist, in verwundbaren Versionen ihre User-ID zu fälschen, was ihnen schließlich erlaubt, sich als administrativer Nutzer zu registrieren und eine Wordpress-Seite vollständig zu übernehmen", erläutern die Analysten (CVE-2024-28000, CVSS 9.8, Risiko "kritisch").

Die Autoren empfehlen Administratorinnen und Administratoren dringend, ihre Websites auf die jüngste gepatchte Version von LiteSpeed Cache, derzeit Stand 6.4.1, so schnell wie möglich zu aktualisieren. "Wir haben keinen Zweifel daran, dass die Schwachstelle sehr bald aktiv ausgenutzt wird", führen sie aus.

Betroffen sind LiteSpeed-Cache-Versionen bis einschlieĂźlich 6.3.0.1, die LĂĽcke schlieĂźen Version 6.4 und neuere. Die Sicherheitsmitteilung von Wordfence liefert Interessierten tiefergehende Details zur Schwachstelle.

Wordpress-Plug-ins bleiben steter Quell von Sicherheitslücken. Am Mittwoch dieser Woche wurde bekannt, dass im Plug-in GiveWP eine kritische Sicherheitslücke existiert, die rund 100.000 WP-Instanzen gefährdet, auf denen es eingesetzt wird. Aktualisierte Software steht auch dafür bereits zur Verfügung.

(dmk)