WordPress LiteSpeed Cache Plugin mit Schwachstelle CVE-2023-40000

[English]Kurzer Hinweis für WordPress-Nutzer, die das Plugin LiteSpeed Cache verwenden. Das Plugin sollte dringend aktualisiert werden, da eine Schwachstelle CVE-2023-40000 zu einer unbefugten Übernahme der Website führen kann. Ein Update für das recht populäre Plugin steht zur Verfügung.

Ich habe geschluckt, als ich den nachfolgenden Tweet mit der Warnung gelesen habe – denn ich hatte das Plugin LiteSpeed Cache lange hier im Blog im Einsatz. Die Trennung kam im Januar 2024, als HostEuropa PHP aktualisierte und das Plugin die Datenbankzugriffe ausbremste.

WordPress LiteSpeed Cache Plugin CVE-2023-40000

The Hacker News hat es in diesem Beitrag aufbereitet: Die Schwachstelle  CVE-2023-40000 wurde im Oktober 2023 in Version 5.7.0.1 behoben. Entdeckt hat sie der Patchstack-Forscher Rafie Muhammad, der das Problem so beschreibt: „Dieses Plugin leidet unter einer nicht authentifizierten, seitenweiten, gespeicherten [Cross-Site-Scripting]-Schwachstelle und könnte es jedem nicht authentifizierten Benutzer ermöglichen, sensible Informationen zu stehlen und in diesem Fall eine Privilegienerweiterung auf der WordPress-Site zu erreichen, indem er eine einzige HTTP-Anfrage ausführt.“

LiteSpeed Cache hat mehr als 5 Millionen Nutzer und ist recht populär. Aktuell ist die Version 6.1, die bereits am 5. Februar 2024 veröffentlicht wurde. Als ich dies gelesen habe, war ich doch etwas beruhigter, denn die Version 5.7.0.1 hatte ich im Oktober 2023 zeitnah installiert. Hier hilft einerseits, dass WordPress einen benachrichtigt, wenn Plugin-Updates vorliegen. Andererseits überwacht bei mir das Plugin WordFence, ob Updates von Komponenten ausstehen und benachrichtigt mich.

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu WordPress LiteSpeed Cache Plugin mit Schwachstelle CVE-2023-40000

  1. Marcel sagt:

    Leider ist WordPress mittlerweile so aufgebläht und unübersichtlich. Wenn man dieses als Einzelnutzer betreibt, dann fordert das viel Hirnschmalz zum richtigen konfigurieren. Auch das es mittlerweile richtig in der Schusslinie steht bzgl. Sicherheit ist ein Grund gewesen, warum ich mich vor 2 Jahren von WP getrennt habe. Bin auf ein Flatfile-CMS umgestiegen (Bludit). Ein ganz anderes arbeiten, leichtgewichtig, tolle Plugins.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert