Kritieke beveiligingsfout gevonden in LiteSpeed ​​Cache-plug-in voor WordPress

Cybersecurityonderzoekers hebben opnieuw een ernstig beveiligingslek ontdekt in de LiteSpeed ​​Cache-plug-in voor WordPress, waardoor niet-geverifieerde gebruikers willekeurige accounts kunnen overnemen.

De kwetsbaarheid, gevolgd als CVE-2024-44000 (CVSS-score: 7,5), heeft invloed op versies vóór en inclusief 6.4.1. Het is opgelost in versie 6.5.0.1.

“De plugin heeft last van een kwetsbaarheid voor overname van niet-geverifieerde accounts, waardoor niet-geverifieerde bezoekers authenticatietoegang kunnen krijgen tot ingelogde gebruikers. In het ergste geval kunnen ze toegang krijgen tot een beheerdersrol, waarna schadelijke plugins kunnen worden geüpload en geïnstalleerd”, aldus Patchstack-onderzoeker Rafie Muhammad.

De ontdekking volgt op een uitgebreide beveiligingsanalyse van de plugin, die eerder leidde tot de identificatie van een kritieke privilege escalation-fout (CVE-2024-28000, CVSS-score: 9,8). LiteSpeed ​​Cache is een populaire caching-plugin voor het WordPress-ecosysteem met meer dan 5 miljoen actieve installaties.

De nieuwe kwetsbaarheid ontstaat doordat een debug-logbestand met de naam “/wp-content/debug.log” openbaar toegankelijk is, waardoor niet-geverifieerde aanvallers mogelijk gevoelige informatie in het bestand kunnen bekijken.

Dit kan ook informatie over gebruikerscookies omvatten die aanwezig is in HTTP-responsheaders, waardoor gebruikers zich effectief kunnen aanmelden bij een kwetsbare site met elke actieve, geldige sessie.

De lagere ernst van de fout is te danken aan de vereiste dat de debugfunctie op een WordPress-site moet zijn ingeschakeld om succesvol te zijn. Het kan ook sites treffen die de debuglogfunctie op een bepaald moment in het verleden hebben geactiveerd, maar het debugbestand niet hebben verwijderd.

Het is belangrijk om op te merken dat deze functie standaard is uitgeschakeld. De patch lost het probleem op door het logbestand te verplaatsen naar een speciale map binnen de LiteSpeed-pluginmap (“/wp-content/litespeed/debug/”), bestandsnamen willekeurig te maken en de optie om cookies te loggen in het bestand te verwijderen.

Gebruikers wordt geadviseerd om hun installaties te controleren op de aanwezigheid van “/wp-content/debug.log” en stappen te ondernemen om deze te verwijderen als de foutopsporingsfunctie is (of was) ingeschakeld.

Het is ook aan te raden om een ​​.htaccess-regel in te stellen om directe toegang tot de logbestanden te blokkeren. Kwaadwillenden kunnen namelijk nog steeds rechtstreeks toegang krijgen tot het nieuwe logbestand als ze de nieuwe bestandsnaam weten door middel van trial-and-error.

“Deze kwetsbaarheid onderstreept hoe belangrijk het is om de beveiliging van het uitvoeren van een debug-logproces te waarborgen, welke gegevens niet mogen worden gelogd en hoe het debug-logbestand wordt beheerd”, aldus Muhammad.

Thijs Van der Does