Update: Kritische Sicherheitslücken in WordPress-Plugin Litespeed Cache

Die Warnmeldung wurde am 6. September 2024 aufgrund weiterführender Informationen aktualisiert. 

Angreifende können sich über die kritische Schwachstelle im WordPress-Plugin „Litespeed Cache“ Administratorrechte verschaffen. Mit diesen Rechten können sie betroffene Seiten vollständig übernehmen. Dies ermöglicht Angreifenden wiederum, bei Besuchern der Webseiten Schadsoftware zu installieren, Datenverkehr auf bösartige Websites umzuleiten und Benutzerdaten abzugreifen.

Betroffen sind alle Versionen bis einschließlich 6.3.0.1.

Der Schwachstelle ist die CVE-Nummer CVE-2024-28000 und ein CVSS-Base-Score von 9.8 zugewiesen. Dieser hohe Wert ist auf den relativ einfachen Angriffsvektor zurückzuführen. Wordfence unterband innerhalb von 24 Stunden 990 Angriffsversuche über diese Sicherheitslücke. Fachleute rechnen mit einer Zunahme der Ausnutzungsversuche.

Am 5. September 2024 wurde mit CVE-2024-44000 eine weitere kritische Schwachstelle publik. CVE-2024-44000 hat einen CVSS-Score von 9.8/10 und ermöglicht Angreifenden, Nutzer-Sessions zu kapern. Nachdem die Kriminellen eine Session übernommen haben, können sie über maliziöse Plugins eine kompromittierte Website vollständig übernehmen. So berichtet unter anderem das Nachrichtenportal BleepingComputer.

Litespeed Cache ist ein Open-Source-Plugin zur Beschleunigung von Webseiten. Es soll das am weitesten verbreitete WordPress-Plugin sein.

• Aktualisieren Sie zeitnah auf die Version 6.5.0.1.
• Um der Verbreitung solcher Schwachstellen entgegenzuwirken, deaktivieren Sie auf Produktionsseiten das Debugging. Führen Sie außerdem regelmäßig Sicherheitsüberprüfungen durch.