सुरक्षा खामी के कारण 40 लाख वर्डप्रेस वेबसाइटें खतरे में हैं।

वर्डफ़ेंस की थ्रेट इंटेलिजेंस टीम ने अपने ब्लॉग पर घोषणा की कि उन्होंने लाइटस्पीड कैश प्लगइन में क्रॉस-साइट कोड इंजेक्शन (XSS) सुरक्षा खामी का खुलासा किया है। यह लोकप्रिय ऐड-ऑन 40 लाख से अधिक वर्डप्रेस वेबसाइटों पर इंस्टॉल किया जा चुका है। इस सुरक्षा खामी की वजह से कंट्रीब्यूटर विशेषाधिकार प्राप्त हैकर्स शॉर्टकोड का उपयोग करके दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।

LiteSpeed ​​​​Cache एक WordPress वेबसाइट स्पीड-अप प्लगइन है जो कैशिंग का उपयोग करता है और सर्वर-स्तरीय ऑप्टिमाइज़ेशन को सपोर्ट करता है। यह ऐड-ऑन एक शॉर्टकोड प्रदान करता है जिसका उपयोग WordPress में जोड़ने पर एज साइड तकनीक का उपयोग करके ब्लॉक को कैश करने के लिए किया जा सकता है।

हालांकि, वर्डफ़ेंस ने बताया कि प्लगइन का शॉर्टकोड कार्यान्वयन असुरक्षित है, जिससे इन पृष्ठों में मनमानी स्क्रिप्ट डाली जा सकती हैं। एक सुरक्षा खामी जांच से पता चला कि शॉर्टकोड विधि इनपुट और आउटपुट को ठीक से मान्य नहीं करती है। इससे हमलावरों को XSS हमले करने की अनुमति मिल जाती है। एक बार किसी पृष्ठ या पोस्ट में एम्बेड हो जाने के बाद, स्क्रिप्ट हर बार उपयोगकर्ता द्वारा उस पृष्ठ या पोस्ट को एक्सेस करने पर निष्पादित होती है।

हालांकि इस भेद्यता के लिए योगदानकर्ता के खाते से समझौता करना या उपयोगकर्ता को योगदानकर्ता के रूप में पंजीकरण करना आवश्यक है, वर्डफ़ेंस का कहना है कि हमलावर संवेदनशील जानकारी चुरा सकते हैं, वेबसाइट सामग्री में हेरफेर कर सकते हैं, प्रशासकों पर हमला कर सकते हैं, फ़ाइलों को संपादित कर सकते हैं या आगंतुकों को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकते हैं।

वर्डफ़ेंस ने बताया कि उसने 14 अगस्त को लाइटस्पीड कैश डेवलपमेंट टीम से संपर्क किया था। पैच को 16 अगस्त को डिप्लॉय किया गया और 10 अक्टूबर को वर्डप्रेस पर रिलीज़ किया गया। अब उपयोगकर्ताओं को इस सुरक्षा खामी को पूरी तरह से ठीक करने के लिए लाइटस्पीड कैश को संस्करण 5.7 में अपडेट करना होगा। हालांकि यह खतरनाक था, वर्डफ़ेंस के अंतर्निहित क्रॉस-साइट स्क्रिप्टिंग सुरक्षा ने इस खामी को रोकने में मदद की।