Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke im LiteSpeed Cache-Plugin für WordPress aufgedeckt, die es nicht authentifizierten Nutzern ermöglicht, Administratorrechte zu erlangen.

„Das Plugin leidet unter einer nicht authentifizierten Privilegieneskalations-Schwachstelle, die es jedem nicht authentifizierten Besucher ermöglicht, Administratorzugriff zu erhalten, woraufhin schädliche Plugins hochgeladen und installiert werden können“, erklärte Rafie Muhammad von Patchstack in einem Bericht vom Mittwoch.

Die Schwachstelle, die als CVE-2024-28000 (CVSS-Wert: 9,8) verfolgt wird, wurde in der Version 6.4 des Plugins behoben, die am 13. August 2024 veröffentlicht wurde. Alle Versionen des Plugins bis einschließlich Version 6.3.0.1 sind betroffen.

LiteSpeed Cache gehört zu den am weitesten verbreiteten Caching-Plugins für WordPress und ist auf über fünf Millionen Websites aktiv installiert.

Kurz gesagt, ermöglicht CVE-2024-28000 einem nicht authentifizierten Angreifer, seine Benutzer-ID zu fälschen und sich als Administrator zu registrieren, wodurch er effektiv die Kontrolle über eine verwundbare WordPress-Website übernehmen kann.

Die Schwachstelle liegt in einer Benutzersimulationsfunktion des Plugins, die einen schwachen Sicherheitshash verwendet, der auf einer leicht zu erratenden Zufallszahl basiert.

Konkret gibt es nur eine Million mögliche Werte für den Sicherheitshash, da der Zufallszahlengenerator aus dem Mikrosekundenteil der aktuellen Zeit abgeleitet wird. Zudem ist der Zufallszahlengenerator nicht kryptografisch sicher und der generierte Hash ist weder gesalzen noch an eine bestimmte Anfrage oder einen bestimmten Benutzer gebunden.

„Dies liegt daran, dass das Plugin die Funktionsweise der Rollensimulation nicht ausreichend einschränkt, was es einem Benutzer ermöglicht, seine aktuelle ID auf die eines Administrators zu setzen, wenn er Zugriff auf einen gültigen Hash hat, der in den Debug-Protokollen gefunden oder durch Brute Force ermittelt werden kann“, erklärte Wordfence in seiner eigenen Warnung.

„Dies macht es möglich, dass nicht authentifizierte Angreifer ihre Benutzer-ID auf die eines Administrators fälschen und dann ein neues Benutzerkonto mit der Administratorrolle über den /wp-json/wp/v2/users REST-API-Endpunkt erstellen.“

Es ist wichtig zu beachten, dass die Schwachstelle auf Windows-basierten WordPress-Installationen nicht ausgenutzt werden kann, da die Hash-Generierungsfunktion von einer PHP-Methode namens sys_getloadavg() abhängt, die unter Windows nicht implementiert ist.

„Diese Schwachstelle verdeutlicht die kritische Bedeutung der Sicherstellung der Stärke und Unvorhersehbarkeit von Werten, die als Sicherheitshashes oder Nonces verwendet werden“, sagte Muhammad.

Angesichts einer zuvor offengelegten Schwachstelle in LiteSpeed Cache (CVE-2023-40000, CVSS-Wert: 8,3), die bereits von böswilligen Akteuren ausgenutzt wurde, ist es dringend erforderlich, dass Nutzer ihre Installationen schnell auf die neueste Version aktualisieren.