WordPress is opnieuw kwetsbaar door een kritieke bug in de gratis versie van de populaire cache-plugin LightSpeed. De kwetsbaarheid is recentelijk van een patch voorzien.
Volgens de onderzoekers van Patchstack bevat de cache-plugin deze keer een bug die privilege-escalatie mogelijk maakt. Hierdoor kunnen hackers admin-rechten verkrijgen en de controle over de website overnemen.
LightSpeed is een populaire plug-in voor WordPress, ontworpen om de snelheid en gebruikservaring van eindgebruikers te verbeteren. Ongeveer 6 miljoen WordPress-websites zouden gebruikmaken van de gratis versie van deze plug-in.
Aanvalspad
De nieuw ontdekte kritieke kwetsbaarheid, aangeduid als CVE-2024-50550, wordt veroorzaakt door een zwakke hash-check in de ‘role simulation’-functie van de plug-in. Deze functie is bedoeld om gebruikersrollen te simuleren, zodat de ingebouwde crawler de site vanuit verschillende gebruikersniveaus kan scannen.
De kwetsbaarheid ontstaat door twee standaard checks die zwakke securityhash-waarden gebruiken, opgeslagen in twee cookies. Wanneer deze hashes enigszins willekeurig worden gegenereerd, kunnen ze in bepaalde configuraties gemakkelijk worden voorspeld. Dit kan gebeuren ondanks dat specifieke instellingen daarvoor vereist zijn.
Volgens Patchstack kunnen hackers, ondanks de 32-karakter hashes, deze voorspellen of via een brute force-aanval verkrijgen, met een set van 1 miljoen mogelijke combinaties.
Na een geslaagde aanval kunnen hackers de rol van administrator aannemen, wat hen in staat stelt willekeurige plug-ins of malware naar de getroffen website te uploaden en te installeren. Ook kunnen zij in de backend toegang krijgen tot databases, webpagina’s aanpassen en meer.
Patch inmiddels uitgebracht
LightSpeed heeft enkele weken geleden een patch uitgebracht voor de kwetsbaarheid in versie 6.5.2. Deze versie verbetert de willekeurigheid van de hash-waarden, waardoor brute-forcing vrijwel onmogelijk wordt.
Ondertussen zouden ongeveer 2 miljoen van de mogelijk kwetsbare websites zijn gepatcht, wat betekent dat er nog steeds 4 miljoen websites openstaan voor een mogelijke aanval via CVE-2024-50550.
De bekende WordPress-plug-in is dit jaar al meerdere malen door kwetsbaarheden getroffen. In augustus werd LightSpeed onder andere getroffen door de kritieke CVE-2024-28000-kwetsbaarheid, waarmee hackers ook de volledige controle over een getroffen website konden overnemen. Deze kwetsbaarheid werd ontdekt via het bountyprogramma van Patchstack.
Lees ook: Kwetsbaarheid in populaire WordPress-plugin geeft hackers volledige controle