CVE-2026-12089: LWS Optimize WordPress-sårbarhed
WordPress-plugin LWS Optimize lader redaktører læse alle filer på serveren — opdater til 3.3.20 eller nyere straks.
Hvad er det?
LWS Optimize er et populært WordPress-plugin, der bruges til at gøre hjemmesider hurtigere. En fejl i pluginnet betyder, at en bruger med redaktøradgang (eller højere) kan narre pluginnet til at læse vilkårlige filer på webserveren — også filer der slet ikke har noget med hjemmesiden at gøre. Fejlen opstår fordi pluginnet ukritisk følger links til CSS-filer fra sidens HTML og derefter læser dem direkte fra serverens filsystem uden at tjekke, om filstien er lovlig. Det svarer til, at en ansat kan bede kopimaskinen om at kopiere ethvert dokument på hele kontoret — ikke kun det, de burde have adgang til.
Hvem rammer det?
Fejlen rammer alle WordPress-hjemmesider, der kører LWS Optimize version 3.3.19 eller tidligere. Det er især et problem, hvis din hjemmeside har flere brugere med redaktøradgang — f.eks. bloggere, marketingmedarbejdere eller freelancere, du har givet adgang til at redigere indhold.
Hvad kan ske?
En angriber med redaktøradgang kan udnytte fejlen til at læse følsomme filer på din webserver. Det kan f.eks. være:
- Konfigurationsfilen
wp-config.php, som indeholder databaseadgangskoder og hemmelige nøgler - Systemfiler med serveroplysninger, brugernavne eller andre følsomme data
- Andre applikationers konfigurationsfiler på samme server
Angrebet efterlader ikke nødvendigvis synlige spor, og det kan bruges som springbræt til at tage fuld kontrol over hjemmesiden eller serveren efterfølgende.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat (CVSS 4.9 ud af 10). Den kræver, at angriberen allerede har et aktivt login med mindst redaktøradgang på din WordPress-side — det er altså ikke noget en ukendt person udefra kan udnytte uden videre. Til gengæld er selve angrebet nemt at udføre, når man først har den adgang, og konsekvensen kan være alvorlig: dine adgangskoder og konfigurationsdata kan blive kompromitteret.
Hvad gør jeg nu?
Følg disse trin for at lukke hullet:
- Opdater LWS Optimize til version 3.3.20 eller nyere via WordPress-dashboardet under Plugins → Opdateringer.
- Gennemgå dine WordPress-brugere og sørg for, at kun betroede personer har redaktøradgang eller højere. Fjern eller nedgrader konti, der ikke længere har brug for det.
- Skift databaseadgangskoden i din
wp-config.phpog generer nye hemmelige nøgler/salts, hvis du er i tvivl om, hvorvidt nogen har haft uautoriseret adgang. - Tjek serverlogfiler for usædvanlig aktivitet omkring CSS-kombinering, hvis din hostingløsning giver adgang til dette.
- Overvej løbende plugin-opdateringer som en fast rutine — slå automatiske opdateringer til for sikkerhedsopdateringer.
Opdater inden for 7 dage
Opdater LWS Optimize med det samme — det tager under to minutter via WordPress-dashboardet. Brug dernæst fem minutter på at gennemgå, hvem der har redaktøradgang til din side, og fjern adgange der ikke er nødvendige. Selvom sårbarheden kræver et eksisterende login for at blive udnyttet, bør du ikke vente: kompromitterede konfigurationsoplysninger kan give en angriber fuld kontrol over hele din hjemmeside.
Tidslinje
Konkrete eksempler
Freelanceredaktør stjæler databaseadgangskode
En virksomhed hyrer en freelance-tekstforfatter og giver dem redaktøradgang til WordPress for at publicere blogindlæg. Freelanceren udnytter LWS Optimize-fejlen til at hente indholdet af wp-config.php — den fil, der indeholder databasens brugernavn og adgangskode. Med disse oplysninger kan angriberen logge direkte ind i databasen og hente alle kundedata, ordrehistorik og e-mailadresser.
Kompromitteret medarbejderkonto bruges som springbræt
En medarbejders WordPress-login bliver stjålet via en phishing-mail. Angriberen logger ind som redaktør og bruger LWS Optimize-fejlen til at læse serverens konfigurationsfiler. Her finder de adgangskoder til andre tjenester på samme server — f.eks. en FTP-konto eller en e-mailserver — og får dermed adgang til langt mere end blot hjemmesiden.
Intern aktør afslører fortrolige dokumenter
En utilfreds medarbejder med redaktøradgang bruger sårbarheden til systematisk at læse filer på webserveren. Hvis serveren også hoster andre applikationer eller delte drev, kan medarbejderen potentielt tilgå fortrolige kontrakter, lønsedler eller andre dokumenter, som slet ikke burde være tilgængelige via hjemmesidens login.
Ofte stillede spørgsmål
Skal jeg være bekymret, selvom min hjemmeside kun har én administrator?
Hvis du er den eneste bruger på din WordPress-side, er risikoen meget lavere — en angriber skulle i så fald først have stjålet dit login. Du bør stadig opdatere pluginnet, men du er ikke i umiddelbar fare fra denne specifikke sårbarhed.
Kan en helt ukendt person udefra udnytte denne fejl?
Nej, ikke direkte. Angriberen skal have et gyldigt WordPress-login med mindst redaktøradgang. Det kan dog ske, hvis en medarbejder klikker på en phishing-mail og afslører sine loginoplysninger, eller hvis I bruger svage adgangskoder.
Hvad er et 'path traversal'-angreb (CWE-22)?
Et path traversal-angreb betyder, at en angriber manipulerer en filsti for at komme uden for det tilladte område. Forestil dig en bogholder, der beder om at se ‘regnskab/../../../serverens hemmelige filer’ — systemet følger stien uden at tjekke, om destinationen er tilladt. Det er præcis den fejl, LWS Optimize indeholder.
Mister jeg data eller funktionalitet ved at opdatere pluginnet?
Nej. En opdatering af LWS Optimize lukker kun sikkerhedshullet og påvirker ikke din hjemmesides udseende, indhold eller ydeevne. Det anbefales altid at tage en backup inden opdatering, men der er ingen kendte problemer med opdateringen.
Hvordan ved jeg, om nogen allerede har udnyttet fejlen?
Det er svært at se med det blotte øje. Kig efter ukendte brugerlogins i WordPress, usædvanlige fil-forespørgsler i serverloggene, eller om din
wp-config.phper blevet tilgået på mærkelige tidspunkter. Kontakt os, hvis du er i tvivl — vi kan hjælpe med at undersøge det.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The LWS Optimize – All-in-One Speed Booster & Cache Tools plugin for WordPress is vulnerable to Arbitrary File Read in versions up to, and including, 3.3.19. This is due to the combine_current_css() function trusting values harvested from page HTML and converting same-site URLs to absolute filesystem paths before reading them with file_get_contents()/MinifyCSS::add(), without enforcing that the resolved path stay within ABSPATH or have a .css extension. This makes it possible for authenticated attackers, with Editor-level access and above, to read arbitrary files.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
