Luka w zabezpieczeniach naraża na ryzyko 4 miliony witryn WordPress

Zespół Wordfence ds. analizy zagrożeń poinformował na swoim blogu, że świadomie ujawnił lukę w zabezpieczeniach umożliwiającą atak typu cross-site scripting (XSS) we wtyczce LiteSpeed ​​Cache, popularnym dodatku zainstalowanym na ponad 4 milionach witryn WordPress. Luka ta umożliwia hakerom z uprawnieniami współautora wstrzykiwanie złośliwych skryptów za pomocą krótkich kodów.

LiteSpeed ​​​​Cache to wtyczka, która przyspiesza działanie stron WordPress dzięki buforowaniu i optymalizacji na poziomie serwera. Ta wtyczka udostępnia krótki kod, który po dodaniu do WordPressa umożliwia buforowanie bloków za pomocą technologii Edge Side.

Wordfence stwierdził jednak, że implementacja krótkiego kodu wtyczki była niebezpieczna, co umożliwiało wstawianie dowolnych skryptów na te strony. Analiza podatnego kodu wykazała, że ​​metoda krótkiego kodu nie sprawdzała odpowiednio danych wejściowych i wyjściowych. Umożliwiło to atakującemu przeprowadzenie ataków XSS. Po wstawieniu skryptu na stronę lub wpis, był on uruchamiany za każdym razem, gdy użytkownik go odwiedzał.

Firma Wordfence poinformowała, że ​​do wykorzystania luki wymagane jest posiadanie przejętego konta współautora lub zarejestrowanie się użytkownika jako współautora, co pozwala atakującemu na kradzież poufnych informacji, manipulowanie treścią witryny, atakowanie administratorów, edytowanie plików lub przekierowywanie odwiedzających do złośliwych witryn.

Firma Wordfence poinformowała o skontaktowaniu się z zespołem programistów LiteSpeed ​​Cache 14 sierpnia. Poprawka została wdrożona 16 sierpnia i udostępniona w WordPressie 10 października. Użytkownicy muszą teraz zaktualizować LiteSpeed ​​Cache do wersji 5.7, aby całkowicie naprawić tę lukę w zabezpieczeniach. Choć jest ona niebezpieczna, wbudowana funkcja ochrony przed atakami typu Cross-Site Scripting w zaporze Wordfence pomogła zapobiec temu atakowi.