CVE-2026-12089
Moderat

CVE-2026-12089: LWS Optimize WordPress-sårbarhed

WordPress-plugin LWS Optimize lader redaktører læse alle filer på serveren — opdater til 3.3.20 eller nyere straks.

CVSS Score
4.9
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

LWS Optimize er et populært WordPress-plugin, der bruges til at gøre hjemmesider hurtigere. En fejl i pluginnet betyder, at en bruger med redaktøradgang (eller højere) kan narre pluginnet til at læse vilkårlige filer på webserveren — også filer der slet ikke har noget med hjemmesiden at gøre. Fejlen opstår fordi pluginnet ukritisk følger links til CSS-filer fra sidens HTML og derefter læser dem direkte fra serverens filsystem uden at tjekke, om filstien er lovlig. Det svarer til, at en ansat kan bede kopimaskinen om at kopiere ethvert dokument på hele kontoret — ikke kun det, de burde have adgang til.

Hvem rammer det?

Fejlen rammer alle WordPress-hjemmesider, der kører LWS Optimize version 3.3.19 eller tidligere. Det er især et problem, hvis din hjemmeside har flere brugere med redaktøradgang — f.eks. bloggere, marketingmedarbejdere eller freelancere, du har givet adgang til at redigere indhold.

Hvad kan ske?

En angriber med redaktøradgang kan udnytte fejlen til at læse følsomme filer på din webserver. Det kan f.eks. være:

  • Konfigurationsfilen wp-config.php, som indeholder databaseadgangskoder og hemmelige nøgler
  • Systemfiler med serveroplysninger, brugernavne eller andre følsomme data
  • Andre applikationers konfigurationsfiler på samme server

Angrebet efterlader ikke nødvendigvis synlige spor, og det kan bruges som springbræt til at tage fuld kontrol over hjemmesiden eller serveren efterfølgende.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat (CVSS 4.9 ud af 10). Den kræver, at angriberen allerede har et aktivt login med mindst redaktøradgang på din WordPress-side — det er altså ikke noget en ukendt person udefra kan udnytte uden videre. Til gengæld er selve angrebet nemt at udføre, når man først har den adgang, og konsekvensen kan være alvorlig: dine adgangskoder og konfigurationsdata kan blive kompromitteret.

Hvad gør jeg nu?

Følg disse trin for at lukke hullet:

  1. Opdater LWS Optimize til version 3.3.20 eller nyere via WordPress-dashboardet under Plugins → Opdateringer.
  2. Gennemgå dine WordPress-brugere og sørg for, at kun betroede personer har redaktøradgang eller højere. Fjern eller nedgrader konti, der ikke længere har brug for det.
  3. Skift databaseadgangskoden i din wp-config.php og generer nye hemmelige nøgler/salts, hvis du er i tvivl om, hvorvidt nogen har haft uautoriseret adgang.
  4. Tjek serverlogfiler for usædvanlig aktivitet omkring CSS-kombinering, hvis din hostingløsning giver adgang til dette.
  5. Overvej løbende plugin-opdateringer som en fast rutine — slå automatiske opdateringer til for sikkerhedsopdateringer.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Opdater LWS Optimize med det samme — det tager under to minutter via WordPress-dashboardet. Brug dernæst fem minutter på at gennemgå, hvem der har redaktøradgang til din side, og fjern adgange der ikke er nødvendige. Selvom sårbarheden kræver et eksisterende login for at blive udnyttet, bør du ikke vente: kompromitterede konfigurationsoplysninger kan give en angriber fuld kontrol over hele din hjemmeside.

Tidslinje

13/06/2026
CVE offentliggjort
CVE-2026-12089 blev officielt registreret i National Vulnerability Database (NVD) og offentliggjort for omverdenen.
13/06/2026
Sårbarhed afsløret i LWS Optimize ≤ 3.3.19
Sikkerhedsforskere bekræftede, at alle versioner op til og med 3.3.19 af LWS Optimize er sårbare over for vilkårlig fillæsning via CSS-kombinerings-funktionen.
13/06/2026
Patch tilgængelig
En opdateret version af LWS Optimize (3.3.20 eller nyere) med rettelsen er tilgængelig via WordPress plugin-kataloget.

Konkrete eksempler

Freelanceredaktør stjæler databaseadgangskode

En virksomhed hyrer en freelance-tekstforfatter og giver dem redaktøradgang til WordPress for at publicere blogindlæg. Freelanceren udnytter LWS Optimize-fejlen til at hente indholdet af wp-config.php — den fil, der indeholder databasens brugernavn og adgangskode. Med disse oplysninger kan angriberen logge direkte ind i databasen og hente alle kundedata, ordrehistorik og e-mailadresser.

Kompromitteret medarbejderkonto bruges som springbræt

En medarbejders WordPress-login bliver stjålet via en phishing-mail. Angriberen logger ind som redaktør og bruger LWS Optimize-fejlen til at læse serverens konfigurationsfiler. Her finder de adgangskoder til andre tjenester på samme server — f.eks. en FTP-konto eller en e-mailserver — og får dermed adgang til langt mere end blot hjemmesiden.

Intern aktør afslører fortrolige dokumenter

En utilfreds medarbejder med redaktøradgang bruger sårbarheden til systematisk at læse filer på webserveren. Hvis serveren også hoster andre applikationer eller delte drev, kan medarbejderen potentielt tilgå fortrolige kontrakter, lønsedler eller andre dokumenter, som slet ikke burde være tilgængelige via hjemmesidens login.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

The LWS Optimize – All-in-One Speed Booster & Cache Tools plugin for WordPress is vulnerable to Arbitrary File Read in versions up to, and including, 3.3.19. This is due to the combine_current_css() function trusting values harvested from page HTML and converting same-site URLs to absolute filesystem paths before reading them with file_get_contents()/MinifyCSS::add(), without enforcing that the resolved path stay within ABSPATH or have a .css extension. This makes it possible for authenticated attackers, with Editor-level access and above, to read arbitrary files.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-12089
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.