Lücke in LiteSpeed-Cache-Plug-in gefährdet 4 Millionen WordPress-Websites
Angreifer können WordPress-Websites mit Schadcode-Skripten verseuchen. Ein Sicherheitsupdate repariert das LiteSpeed-Cache-Plug-in.
(Bild: AFANASEV IVAN/Shutterstock.com)
Das weitverbreitete Caching-Plug-in für WordPress-Websites LiteSpeed Cache weist eine Sicherheitslücke auf, über die Angreifer Schadcode in Webbrowsern von Seitenbesuchern ausführen können. Die Entwickler haben die Schwachstelle in einer aktuellen Version geschlossen.
Sicherheitsproblem
Wie Sicherheitsforscher von Wordfence in einem Beitrag ausführen, ist die Sicherheitslücke (CVE-2023-4372) mit dem Bedrohungsgrad "mittel" eingestuft. Dabei handelt es sich um eine Stored-XSS-Schwachstelle. Darüber können Angreifer dauerhaft ein Skript mit Schadcode auf Servern verankern, sodass ihr Code bei jedem Besuch im Webbrowser von Opfern ausgeführt wird.
Den Entwicklern zufolge weist das Plug-in derzeit mehr als vier Millionen aktive Installationen auf. Diese Websites sind potenziell angreifbar. Admins sollten sicherstellen, dass die abgesicherte Ausgabe 5.7 installiert ist. Die Sicherheitsforscher geben an, dass die Entwickler zügig reagiert und das Sicherheitsupdate veröffentlicht haben. Ob es bereits Attacken gibt, ist bislang nicht bekannt.
Attacken sind aber nur möglich, wenn ein Angreifer über Berechtigungen auf Beitragsebene verfügt. Ist das der Fall, kann er aufgrund unzureichender Überprüfungen von Nutzereingaben Schadcode im Shortcode-Bereich des Plug-ins verankern.
(des)
