צוות מודיעין האיומים של Wordfence כתב בבלוג שלו כי חשף באחריות פגיעות של cross-site scripting (XSS) בתוסף LiteSpeed Cache, תוסף פופולרי המותקן ביותר מ-4 מיליון אתרי וורדפרס. הפגיעות מאפשרת להאקרים בעלי הרשאות תורם להזריק סקריפטים זדוניים באמצעות קודי קיצור.
LiteSpeed Cache הוא תוסף שמאיץ אתרי וורדפרס באמצעות אחסון במטמון ואופטימיזציה ברמת השרת. תוסף זה מספק קוד קצר שניתן להשתמש בו כדי לאחסן בלוקים במטמון באמצעות טכנולוגיית Edge Side כאשר הוא נוסף לוורדפרס.
עם זאת, Wordfence מסרה כי יישום הקוד הקצר של התוסף אינו מאובטח, מה שאפשר הכנסת סקריפטים שרירותיים לדפים אלה. בדיקה של הקוד הפגיע גילתה ששיטת הקוד הקצר לא בדקה כראוי את הקלט והפלט. זה אפשר לגורם האיום לבצע התקפות XSS. לאחר הכנסתו לדף או לפוסט, הסקריפט היה מופעל בכל פעם שמשתמש ביקר בו.
LiteSpeed Cache הוא תוסף מפורסם להאצת תנועה בפלטפורמת וורדפרס.
בעוד שהפגיעות דורשת מחשבון תורם או משתמש שנפרץ להירשם כתורם, Wordfence אמרה שתוקף יכול לגנוב מידע רגיש, לתמרן תוכן אתר, לתקוף מנהלי מערכת, לערוך קבצים או להפנות מבקרים לאתרים זדוניים.
חברת Wordfence מסרה כי יצרה קשר עם צוות הפיתוח של LiteSpeed Cache ב-14 באוגוסט. התיקון נפרס ב-16 באוגוסט ושוחרר לוורדפרס ב-10 באוקטובר. כעת על המשתמשים לעדכן את LiteSpeed Cache לגרסה 5.7 כדי לתקן לחלוטין את פגם האבטחה הזה. למרות שהוא מסוכן, תכונת ההגנה המובנית מפני Cross-Site Scripting של חומת האש של Wordfence סייעה במניעת ניצול לרעה זה.
[מודעה_2]
קישור למקור
![[תמונה] המזכיר הכללי טו לאם משתתף בקונגרס הראשון של הוועדה המרכזית של המפלגה של חזית המולדת וארגוני ההמונים המרכזיים](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/2aa63d072cab4105a113d4fc0c68a839)
![[תמונה] ראש הממשלה פאם מין צ'ין עומד בראש הישיבה הראשונה של ועדת ההיגוי המרכזית למדיניות דיור ושוק הנדל"ן](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
תגובה (0)