Beveiligingslek brengt 4 miljoen WordPress-websites in gevaar

Het Wordfence Threat Intelligence Team schreef op zijn blog dat het op verantwoorde wijze een cross-site scripting (XSS)-kwetsbaarheid had onthuld in de LiteSpeed ​​Cache-plugin, een populaire add-on die op meer dan 4 miljoen WordPress-sites is geïnstalleerd. De kwetsbaarheid stelt hackers met rechten als bijdrager in staat om schadelijke scripts te injecteren met behulp van shortcodes.

LiteSpeed ​​Cache is een plugin die WordPress-websites versnelt met caching en optimalisatie op serverniveau. Deze plugin biedt een shortcode die kan worden gebruikt om blokken te cachen met behulp van Edge Side-technologie wanneer deze aan WordPress wordt toegevoegd.

Wordfence meldde echter dat de shortcode-implementatie van de plugin onveilig was, waardoor willekeurige scripts in deze pagina's konden worden ingevoegd. Onderzoek van de kwetsbare code wees uit dat de shortcode-methode de invoer en uitvoer niet adequaat controleerde. Dit stelde de aanvaller in staat om XSS-aanvallen uit te voeren. Eenmaal ingevoegd in een pagina of bericht, werd het script uitgevoerd telkens wanneer een gebruiker het bezocht.

Voor deze kwetsbaarheid is een gecompromitteerd bijdragersaccount nodig of moet een gebruiker zich registreren als bijdrager. Volgens Wordfence kan een aanvaller gevoelige informatie stelen, de inhoud van websites manipuleren, beheerders aanvallen, bestanden bewerken of bezoekers omleiden naar schadelijke websites.

Wordfence meldde dat het op 14 augustus contact heeft opgenomen met het ontwikkelteam van LiteSpeed ​​Cache. De patch werd op 16 augustus geïmplementeerd en op 10 oktober uitgebracht voor WordPress. Gebruikers moeten LiteSpeed ​​Cache nu updaten naar versie 5.7 om dit beveiligingslek volledig te verhelpen. Hoewel het gevaarlijk is, heeft de ingebouwde Cross-Site Scripting-beveiliging van de Wordfence-firewall deze exploit helpen voorkomen.