Er is een nieuw, zeer ernstig beveiligingslek onthuld in de LiteSpeed Cache-plug-in voor WordPress, waardoor kwaadwillende actoren onder bepaalde omstandigheden willekeurige JavaScript-code kunnen uitvoeren.
De fout, bijgehouden als CVE-2024-47374 (CVSS-score: 7,2), is beschreven als een opgeslagen cross-site scripting (XSS)-kwetsbaarheid die gevolgen heeft voor alle versies van de plug-in tot en met 6.5.0.2.
Het probleem werd op 25 september 2024 aangepakt in versie 6.5.1, na verantwoorde openbaarmaking door Patchstack Alliance-onderzoeker TaiYou.
“Het zou ervoor kunnen zorgen dat elke niet-geverifieerde gebruiker gevoelige informatie kan stelen en, in dit geval, escalatie van bevoegdheden op de WordPress-site kan bewerkstelligen door een enkel HTTP-verzoek uit te voeren”, aldus Patchstack in een rapport.
De fout komt voort uit de manier waarop de plug-in de HTTP-headerwaarde “X-LSCACHE-VARY-VALUE” parseert zonder adequate opschoning en uitvoerontsnapping, waardoor injectie van willekeurige webscripts mogelijk wordt.
Dat gezegd hebbende, is het de moeite waard erop te wijzen dat de instellingen voor paginaoptimalisatie “CSS Combine” en “Generate UCSS” vereist zijn om de exploit succesvol te laten zijn.
Dergelijke kwetsbaarheden, ook wel aanhoudende XSS-aanvallen genoemd, maken het mogelijk om een geïnjecteerd script permanent op de servers van de doelwebsite op te slaan, zoals in een database, in een berichtenforum, in een bezoekerslogboek of in een reactie.
Dit zorgt ervoor dat de kwaadaardige code die in het script is ingebed, wordt uitgevoerd telkens wanneer een nietsvermoedende bezoeker van de site op de gevraagde bron terechtkomt, bijvoorbeeld de webpagina met de speciaal vervaardigde opmerking.
Opgeslagen XSS-aanvallen kunnen ernstige gevolgen hebben, omdat ze kunnen worden ingezet om browsergebaseerde exploits uit te voeren, gevoelige informatie te stelen of zelfs de sessie van een geverifieerde gebruiker te kapen en namens hen acties uit te voeren.
Het meest schadelijke scenario is wanneer het gekaapte gebruikersaccount dat van een sitebeheerder is, waardoor een bedreigingsacteur de volledige controle over de website kan overnemen en nog krachtigere aanvallen kan uitvoeren.
WordPress-plug-ins en -thema’s zijn een populaire manier voor cybercriminelen die legitieme websites willen compromitteren. Omdat LiteSpeed Cache meer dan zes miljoen actieve installaties heeft, vormen fouten in de plug-in een lucratief aanvalsoppervlak voor opportunistische aanvallen.
De nieuwste patch arriveert bijna een maand nadat de ontwikkelaars van de plug-in een andere fout hebben verholpen (CVE-2024-44000, CVSS-score: 7,5) waardoor niet-geverifieerde gebruikers de controle over willekeurige accounts kunnen overnemen.
Het volgt ook op de onthulling van een niet-gepatchte kritische SQL-injectiefout in de TI WooCommerce Verlanglijstje-plug-in (CVE-2024-43917, CVSS-score: 9,8) die, indien succesvol uitgebuit, elke gebruiker in staat stelt willekeurige SQL-query’s uit te voeren in de database van WordPress plaats.
Een ander kritiek beveiligingsprobleem betreft de Jupiter X Core WordPress-plug-in (CVE-2024-7772, CVSS-score: 9,8) waarmee niet-geverifieerde aanvallers willekeurige bestanden op de server van de getroffen site kunnen uploaden, wat mogelijk kan leiden tot uitvoering van externe code.
Het is opgelost in versie 4.7.8, samen met een zeer ernstige authenticatie-bypass-fout (CVE-2024-7781, CVSS-score: 8.1) die “het voor niet-geverifieerde aanvallers mogelijk maakt om in te loggen als de eerste gebruiker die heeft ingelogd met een sociale media-account, inclusief beheerdersaccounts”, aldus Wordfence.
