Kritisk sårbarhed i populært WordPress-plugin kan true mere end fem millioner hjemmesider

Sårbarheden kan ramme de brugere, der bruger den gratis version af WordPress.

Artikel top billede

(Foto: Souvik Banerjee / Unsplash)

Det populære og udbredte WordPress-plugin LiteSpeed Cache gør det muligt for hackere at opnå administratorrettigheder, der giver dem fuld kontrol over berørte hjemmesider.

Det omtalte plugin bruges primært til at øge hastigheden på WordPress-sider og er installeret på mere end fem millioner hjemmesider, hvilket gør sårbarheden ganske alvorlig, da den potentielt kan udnyttes på alle disse hjemmesider.

Det skriver Patchstack, som er kendt for sin software, der beskytter WordPress-hjemmesider mod sårbarheder i blandt andet plugins.

Sårbarheden, der har fået betegnelsen CVE-2024-28000, er nu blevet patchet i LiteSpeed Cahces seneste opdatering - version 6.4.

Det er dog vigtigt at bemærke, at kun den gratis version af LiteSpeed Cache var berørt, mens betalende brugere hele tiden har været beskyttet.

Angreb ville kunne gennemføres på få timer

Den kritiske sårbarhed ligger i en funktion i LiteSpeed Caches site crawler, der bruges til at bestemme, hvilke komponenter på hjemmesiden, der skal caches.

Svagheden skyldes en utilstrækkelig sikkerhedshash, som kun kan generere én million mulige værdier.

Når denne sikkerhedshash først er skabt, ændrer den sig ikke, hvilket giver hackere mulighed for relativt let at bryde koden ved at brute-force sig adgang.

Ifølge eksperter vil sådan et angreb muligvis kunne gennemføres på få timer.

For at udnytte sårbarheden skal hackeren kende administratorens bruger-ID – der er en oplysning, som ofte ikke er svær at få fat i, da den i mange tilfælde blot er sat til tallet ‘1’.

Ved at tilføje dette ID til en specifik cookie (litespeed_role) kan hackeren opnå fulde rettigheder på siden, lyder det.

Annonceindlæg fra Academic Work Denmark A/S

Accele­rated learning har løst samfund­skri­tiske udfordringer hos vores nordiske naboer

Med akut mangel på blandt andet IT- og Tech kompetencer er det nødvendigt at gøre op med traditionel uddannelsestænkning.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect

Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

Alexander Hoffmann

GlobalConnect

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S