Miljoenen WordPress-sites lopen door een kritieke kwetsbaarheid in de plug-in LiteSpeed Cache het risico op aanvallen. Een update is beschikbaar, maar die is door de meeste websites nog niet geïnstalleerd. Onlangs werd een ander kritiek beveiligingslek in de plug-in actief gebruikt voor het aanvallen van WordPress-sites. Securitybedrijf Patchstack verwacht ook dat de nieuwste kritieke kwetsbaarheid op grote schaal zal worden misbruikt. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

LiteSpeed Cache is een plug-in die ervoor moet zorgen dat WordPress-sites sneller worden geladen. Meer dan zes miljoen websites maken er gebruik van. Een 'cookie leak' kwetsbaarheid (CVE-2024-44000) zorgt ervoor dat een ongeauthenticeerde aanvaller admin-accounts kan overnemen. Vervolgens is het mogelijk om malafide plug-ins te installeren. De kwetsbaarheid is alleen te misbruiken als de 'debug log feature' is ingeschakeld, of ooit ingeschakeld is geweest, en het /wp-content/debug.log niet is verwijderd. Wanneer een aanvaller dit bestand kan benaderen is het mogelijk om sessioncookies te stelen van gebruikers die zijn of waren ingelogd.

Gisteren verscheen versie 6.5.0.1 van LiteSpeed Cache waarin het probleem is opgelost. Op het moment van schrijven is deze versie volgens cijfers van WordPress.org door 1,2 miljoen websites geïnstalleerd, wat inhoudt dat een groot aantal WordPress-sites nog kwetsbaar is. Volgens WordPress.org maakt het grootste deel van de websites nog gebruik van versie 6.4.x.