Miljoenen WordPress-sites kwetsbaar door kritiek lek in LiteSpeed Cache
Miljoenen WordPress-sites lopen het risico om via een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache door aanvallers te worden overgenomen. Een update is beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan vijf miljoen websites maken er gebruik van.
Een kritieke kwetsbaarheid in de plug-in maakt het mogelijk voor een ongeauthenticeerde aanvaller om zijn user ID te spoofen en zich als beheerder te registreren, waarmee vervolgens de website kan worden overgenomen. Daarvoor waarschuwt securitybedrijf Wordfence dat op korte termijn actief misbruik van het beveiligingslek verwacht.
De kwetsbaarheid (CVE-2024-28000), waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, werd door securitybedrijf Patchstack aan de ontwikkelaars gerapporteerd. Op 13 augustus verscheen versie 6.4 waarin het probleem is opgelost. In de dagen na het uitkomen van de update werd die door zo'n anderhalf miljoen WordPress-sites geïnstalleerd, zo blijkt uit cijfers van WordPress.org, wat inhoudt dat nog miljoenen sites kwetsbaar zijn en risico lopen.
Veilige IT is voor een belangrijk deel ook simpelweg een keuze!
Het is dus inderdaad spaghetti :-)
Hetzelfde bij Android, het probleem zit hem daar in de Apps.
Ja, dat klopt. Ik gebruik zelf Nikola als static site generator. Er valt simpelweg niets te hacken. Geen querystrings, geen database, geen formulieren, gewoon HTML.
Zelfs met de beste wil niet.
De commerciele versie leek mij weinig beter, behalve dat ze snel met QUIC waren, voordat HTTP2.0 er werkelijk was.
Maar heb je weinig aan als browsers daar niks mee doen.
Kortom, dit kritieke lek ...heb ik geen last van.
CDN is overrated.
Hetzelfde bij Android, het probleem zit hem daar in de Apps.
heb een WP site met 3 willekeurige plugins, doe 3 jaar WP niet updaten, en PHP wel,
...dan valt die site vanzelf niet eens meer te hacken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
