Huis > Cyber ​​Nieuws > CVE-2023-40000: Fout in LiteSpeed-plug-in onthult miljoenen WordPress-sites
CYBER NEWS

CVE-2023-40000: Fout in LiteSpeed-plug-in onthult miljoenen WordPress-sites

Een zorgwekkend beveiligingsprobleem binnen een veelgebruikte WordPress-plug-in, LiteSpeed-cache, is gedetecteerd. Bijgehouden als CVE-2023-40000, Deze kwetsbaarheid heeft alarm geslagen vanwege het potentieel ervan om niet-geverifieerde gebruikers in staat te stellen hun rechten te escaleren, die aanzienlijke risico’s met zich meebrengen voor talloze WordPress-websites.

CVE-2023-40000

CVE-2023-40000-kwetsbaarheid onthuld

Ontdekt en bekendgemaakt door Patchstack-onderzoeker Rafie Muhammad, CVE-2023-40000 legt een kritieke fout bloot in eerdere versies van de LiteSpeed Cache-plug-in 5.7.0.1. Deze kwetsbaarheid, geclassificeerd als een niet-geverifieerde locatiebrede opslag cross-site scripting (XSS) kwetsbaarheid, stelt kwaadwillende actoren in staat misbruik te maken van ontoereikende opschoning van gebruikersinvoer en het ontsnappen van uitvoermechanismen. Met één enkel HTTP-verzoek, Ongeautoriseerde gebruikers kunnen mogelijk gevoelige informatie in gevaar brengen en hun rechten op getroffen WordPress-sites verhogen.

Analyse van de hoofdoorzaak

De hoofdoorzaak van CVE-2023-40000 ligt in de functie update_cdn_status() binnen de LiteSpeed Cache-plug-in. Onvoldoende zuivering van de input en het ontsnappen van de output maken de weg vrij voor exploitatie, zoals bevestigd door cybersecurity-experts. Dit toezicht, aanwezig, zelfs in standaardinstallaties, onderstreept de cruciale behoefte aan robuuste beveiligingsmaatregelen bij de ontwikkeling van plug-ins.




Implicaties en reikwijdte van CVE-2023-40000

LiteSpeed-cache, ontworpen om de prestaties van de website te verbeteren, heeft wereldwijd maar liefst vijf miljoen installaties. De wijdverbreide adoptie van deze plug-in versterkt de impact van de bekendgemaakte kwetsbaarheid. De nieuwste versie van de plug-in is 6.1, uitgebracht in februari 5, 2024, en WordPress-gebruikers worden dringend verzocht hun installaties onmiddellijk bij te werken.

Niet verrassend, CVE-2023-40000 is niet het eerste beveiligingslek dat wordt geïdentificeerd in de LiteSpeed Cache-plug-in. Nog maar vier maanden eerder, Wordfence heeft opnieuw een XSS-kwetsbaarheid ontdekt (CVE-2023-4372) in versie 5.7. Deze eerdere fout werd toegeschreven aan onvoldoende opschoning van de invoer en het ontsnappen van uitvoer via door de gebruiker aangeleverde attributen.


Gisteren nog, we hebben nog een onlangs bekendgemaakte WordPress-kwetsbaarheid gemeld: CVE-2024-1071 in Ultiem lid. Het lek werd ontdekt door beveiligingsonderzoeker Christiaan Swiers, met een CVSS score van 9.8 uit 10. In het licht van deze onthullingen, Beheerders van WordPress-websites moeten zorgen voor tijdige updates en zorgvuldige monitoring van kwetsbaarheden in plug-ins.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens