In un post sul loro blog, il team di threat intelligence di Wordfence ha annunciato di aver scoperto una vulnerabilità di cross-site code injection (XSS) nel plugin LiteSpeed Cache. Questo popolare componente aggiuntivo è installato su oltre 4 milioni di siti web WordPress. Questa vulnerabilità di sicurezza consente agli hacker con privilegi di collaboratore di iniettare script dannosi tramite shortcode.
LiteSpeed Cache è un plugin per WordPress che velocizza i siti web utilizzando la cache e supporta l'ottimizzazione a livello di server. Questo componente aggiuntivo fornisce uno shortcode che può essere utilizzato per memorizzare nella cache i blocchi utilizzando la tecnologia Edge Side quando viene aggiunto a WordPress.
Tuttavia, Wordfence ha affermato che l'implementazione dello shortcode del plugin è insicura e consente l'iniezione di script arbitrari in queste pagine. Un controllo di vulnerabilità ha rivelato che il metodo shortcode non convalida adeguatamente input e output. Ciò permette agli aggressori di effettuare attacchi XSS. Una volta incorporato in una pagina o in un articolo, lo script viene eseguito ogni volta che un utente vi accede.
LiteSpeed Cache è un popolare plugin per l'ottimizzazione della velocità della piattaforma WordPress.
Sebbene questa vulnerabilità richieda che l'account del collaboratore venga compromesso o che l'utente si registri come collaboratore, Wordfence afferma che gli aggressori potrebbero rubare informazioni sensibili, manipolare il contenuto del sito web, attaccare gli amministratori, modificare i file o reindirizzare i visitatori a siti web dannosi.
Wordfence ha dichiarato di aver contattato il team di sviluppo di LiteSpeed Cache il 14 agosto. La patch è stata implementata il 16 agosto e rilasciata a WordPress il 10 ottobre. Gli utenti ora devono aggiornare LiteSpeed Cache alla versione 5.7 per risolvere completamente questa vulnerabilità di sicurezza. Sebbene pericolosa, la protezione integrata contro gli attacchi Cross-Site Scripting di Wordfence ha contribuito a prevenire questo exploit.
Link alla fonte
![[Foto] Tran Cam Tu, membro del Comitato permanente del Comitato centrale del Partito, al lavoro con il Comitato centrale di ispezione.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/28/1779969579668_ndo_br_bnd-2495-jpg.webp)
Commento (0)