Une faille de sécurité met en danger 4 millions de sites web WordPress.

Dans un article publié sur son blog, l'équipe de veille sur les menaces de Wordfence a annoncé avoir révélé une vulnérabilité d'injection de code intersite (XSS) dans l'extension LiteSpeed ​​Cache. Ce module complémentaire populaire est installé sur plus de 4 millions de sites WordPress. Cette faille de sécurité permet à des pirates disposant de privilèges de contributeur d'injecter des scripts malveillants via des shortcodes.

LiteSpeed ​​Cache est une extension WordPress qui optimise la vitesse de chargement des sites web grâce à la mise en cache et à l'optimisation côté serveur. Ce module complémentaire fournit un shortcode permettant de mettre en cache des blocs via la technologie Edge Side lorsqu'il est ajouté à WordPress.

Wordfence a toutefois indiqué que l'implémentation des shortcodes de l'extension est vulnérable, permettant l'injection de scripts arbitraires sur ces pages. Une analyse de vulnérabilité a révélé que la méthode des shortcodes ne valide pas correctement les entrées et les sorties. Ceci permet à des acteurs malveillants de mener des attaques XSS. Une fois intégré à une page ou un article, le script s'exécute à chaque accès de l'utilisateur.

Bien que cette vulnérabilité nécessite que le compte du contributeur soit compromis ou que l'utilisateur s'inscrive en tant que contributeur, Wordfence indique que les attaquants pourraient voler des informations sensibles, manipuler le contenu du site web, attaquer les administrateurs, modifier des fichiers ou rediriger les visiteurs vers des sites web malveillants.

Wordfence a indiqué avoir contacté l'équipe de développement de LiteSpeed ​​Cache le 14 août. Le correctif a été déployé le 16 août et intégré à WordPress le 10 octobre. Les utilisateurs doivent désormais mettre à jour LiteSpeed ​​Cache vers la version 5.7 pour corriger définitivement cette faille de sécurité. Bien que dangereuse, la protection XSS intégrée à Wordfence a permis d'empêcher son exploitation.