LiteSpeed Cache, een populaire WordPress-plugin voor site-optimalisatie, blijkt een kwetsbaarheid te bevatten waarmee hackers zichzelf admin-rechten over de site kunnen geven en in feite de complete inboedel overnemen van de rechtmatige eigenaar.
De plugin zou zo’n 5 miljoen WordPress-sites kwetsbaar maken voor dergelijke escalation-of-privileges aanvallen. De kwetsbaarheid kwam aan het licht dankzij speurwerk van een deelnemer aan het bug-opsporingsprogramma van Patchstack. Dat bedrijf levert onder andere eigen software voor het opsporen van kwetsbaarheden in WordPress-sites, -plugins en -thema’s. De ontdekker kan een beloning van 14.400 dollar (bijna 13.000 euro) tegemoet zien, wat blijkbaar het hoogste bedrag is dat ooit is uitgekeerd voor een dergelijk geval.
De plugin LiteSpeed Cache is een alles-in-een optimalisatietool die voorziet in server-side caching en een hele reeks aan andere optimalisaties om bijvoorbeeld specifieke onderdelen van een site te cachen, inclusief hoe lang dat moet gebeuren en wat er zeker niét in de cache moet. De plugin ondersteunt WordPress Multisite, een functie waarmee je meerdere WordPress-sites vanuit één dashboard kunt beheren en is compatibel met populaire plugins als WooCommerce en Yoast SEO.
Zwakke security hash
De kwetsbaarheid zit ‘m in een simulatie-feature in de site crawler (die bepaalt welke onderdelen in de cache moeten) waarvan de security-hash vanwege verschillende zwaktes slechts een miljoen waarden kan genereren. Eenmaal aangemaakt, dan verandert deze ook niet meer. Dat betekent dat een poging om toegang te brute-forcen al na een paar uur succesvol zou zijn.
De enige voorwaarde is dat het user ID van de administrator bekend is en terecht komt in de litespeed_role cookie. Dat is vaak niet zo moeilijk, omdat dit in veel gevallen slechts het getal ‘1’ betreft.
De kwetsbaarheid genaamd CVE-2024-28000 is inmiddels gepatched en is sinds versie 6.4 niet meer aanwezig. Het lek betreft overigens alleen de gratis versie van LiteSpeed Cache. Betalende gebruikers zijn actief beschermd.
Lees ook: WordPress onderbreekt updates voor plug-ins tegen supply chain attacks