Une faille de sécurité met en danger 4 millions de sites WordPress

Dans un article publié sur son blog, l'équipe de veille sur les menaces de Wordfence a indiqué avoir divulgué de manière responsable une vulnérabilité de type cross-site scripting (XSS) dans l'extension LiteSpeed ​​Cache, un module complémentaire populaire installé sur plus de 4 millions de sites WordPress. Cette vulnérabilité permet à des pirates disposant de privilèges de contributeur d'injecter des scripts malveillants via des shortcodes.

LiteSpeed ​​Cache est une extension qui accélère les sites WordPress grâce à la mise en cache et à l'optimisation côté serveur. Cette extension fournit un shortcode permettant de mettre en cache des blocs via la technologie Edge Side lorsqu'elle est ajoutée à WordPress.

Cependant, Wordfence a indiqué que l'implémentation des shortcodes du plugin était vulnérable, permettant l'insertion de scripts arbitraires dans ces pages. L'analyse du code vulnérable a révélé que la méthode des shortcodes ne vérifiait pas correctement les entrées et les sorties. Cela a permis à un attaquant de mener des attaques XSS. Une fois inséré dans une page ou un article, le script s'exécutait à chaque visite de l'utilisateur.

Bien que cette vulnérabilité nécessite un compte contributeur compromis ou qu'un utilisateur s'inscrive en tant que contributeur, Wordfence a indiqué qu'un attaquant pourrait voler des informations sensibles, manipuler le contenu du site web, attaquer les administrateurs, modifier des fichiers ou rediriger les visiteurs vers des sites web malveillants.

Wordfence a indiqué avoir contacté l'équipe de développement de LiteSpeed ​​Cache le 14 août. Le correctif a été déployé le 16 août et intégré à WordPress le 10 octobre. Les utilisateurs doivent désormais mettre à jour LiteSpeed ​​Cache vers la version 5.7 pour corriger définitivement cette faille de sécurité. Bien que dangereuse, la protection intégrée contre les attaques XSS (Cross-Site Scripting) du pare-feu Wordfence a permis d'empêcher son exploitation.