De populaire LiteSpeed WordPress-plugin heeft een vulnerability verholpen die meer dan 4 miljoen websites in gevaar bracht, waardoor hackers kwaadaardige scripts konden uploaden.
LiteSpeed werd twee maanden geleden, op 14 augustus, op de hoogte gesteld van de vulnerability en bracht in oktober een patch uit.
Cross-Site Scripting (XSS) Vulnerability
Wordfence ontdekte een Cross-Site Scripting (XSS) vulnerability in de LiteSpeed-plugin, de meest populaire WordPress caching-plugin ter wereld.
XSS-vulnerabilities zijn over het algemeen van een type dat profiteert van het ontbreken van een beveiligingsproces genaamd data-sanitatie en escaping.
Sanitatie is een techniek die filtert welk soort bestanden via een legitieme invoer kunnen worden geüpload, zoals op een contactformulier.
Bij de specifieke vulnerability van LiteSpeed zorgde de implementatie van een shortcode-functionaliteit ervoor dat een kwaadwillende hacker scripts kon uploaden die ze anders niet hadden kunnen doen als de juiste beveiligingsprotocollen voor het saniteren/escapen van data aanwezig waren.
De ontwikkelaarspagina van WordPress heeft gezegd:
WordPress developersUntrusted data comes from many sources (users, third party sites, even your own database!) and all of it needs to be checked before it’s used.
Sanitizing input is the process of securing/cleaning/filtering input data.
Deze specifieke kwetsbaarheid vereist dat de hacker eerst rechten op bijdrageniveau verkrijgt om de aanval uit te voeren. Dit maakt het uitvoeren van de aanval ingewikkelder dan andere soorten bedreigingen die niet geauthenticeerd zijn (geen toestemmingsniveau vereisen).
Welke versies van de LiteSpeed-plugin zijn kwetsbaar?
Versies 5.6 of lager van de LiteSpeed Cache plugin zijn vatbaar voor de XSS aanval.
Gebruikers van LiteSpeed Cache worden aangemoedigd om hun plugin zo snel mogelijk bij te werken naar de nieuwste versie, 5.7, die werd uitgebracht op 10 oktober 2023.
Lees het Wordfence bulletin over de XSS-kwetsbaarheid in LiteSpeed:
