WordPress LiteSpeed Cache Plugin mit Schwachstelle CVE-2023-40000

[English]Kurzer Hinweis für WordPress-Nutzer, die das Plugin LiteSpeed Cache verwenden. Das Plugin sollte dringend aktualisiert werden, da eine Schwachstelle CVE-2023-40000 zu einer unbefugten Übernahme der Website führen kann. Ein Update für das recht populäre Plugin steht zur Verfügung.

Ich habe geschluckt, als ich den nachfolgenden Tweet mit der Warnung gelesen habe – denn ich hatte das Plugin LiteSpeed Cache lange hier im Blog im Einsatz. Die Trennung kam im Januar 2024, als HostEuropa PHP aktualisierte und das Plugin die Datenbankzugriffe ausbremste.

The Hacker News hat es in diesem Beitrag aufbereitet: Die Schwachstelle  CVE-2023-40000 wurde im Oktober 2023 in Version 5.7.0.1 behoben. Entdeckt hat sie der Patchstack-Forscher Rafie Muhammad, der das Problem so beschreibt: "Dieses Plugin leidet unter einer nicht authentifizierten, seitenweiten, gespeicherten [Cross-Site-Scripting]-Schwachstelle und könnte es jedem nicht authentifizierten Benutzer ermöglichen, sensible Informationen zu stehlen und in diesem Fall eine Privilegienerweiterung auf der WordPress-Site zu erreichen, indem er eine einzige HTTP-Anfrage ausführt."

LiteSpeed Cache hat mehr als 5 Millionen Nutzer und ist recht populär. Aktuell ist die Version 6.1, die bereits am 5. Februar 2024 veröffentlicht wurde. Als ich dies gelesen habe, war ich doch etwas beruhigter, denn die Version 5.7.0.1 hatte ich im Oktober 2023 zeitnah installiert. Hier hilft einerseits, dass WordPress einen benachrichtigt, wenn Plugin-Updates vorliegen. Andererseits überwacht bei mir das Plugin WordFence, ob Updates von Komponenten ausstehen und benachrichtigt mich.