Em seu blog, a equipe de inteligência de ameaças do Wordfence afirmou ter divulgado de forma responsável uma vulnerabilidade de cross-site scripting (XSS) no plugin LiteSpeed Cache, um complemento popular instalado em mais de 4 milhões de sites WordPress. A vulnerabilidade permite que hackers com privilégios de contribuidor injetem scripts maliciosos usando shortcodes.
O LiteSpeed Cache é um plugin que acelera sites WordPress com cache e otimização em nível de servidor. Este plugin fornece um shortcode que pode ser usado para armazenar blocos em cache usando a tecnologia Edge Side quando adicionado ao WordPress.
No entanto, o Wordfence afirmou que a implementação do shortcode do plugin era insegura, permitindo a inserção de scripts arbitrários nessas páginas. Uma análise do código vulnerável revelou que o método do shortcode não verificava adequadamente as entradas e saídas. Isso permitiu que o agente da ameaça realizasse ataques XSS. Uma vez inserido em uma página ou publicação, o script era executado sempre que um usuário a visitava.
LiteSpeed Cache é um famoso plugin de aceleração na plataforma WordPress.
Embora a vulnerabilidade exija uma conta de colaborador comprometida ou que um usuário se registre como colaborador, a Wordfence disse que um invasor pode roubar informações confidenciais, manipular o conteúdo do site, atacar administradores, editar arquivos ou redirecionar visitantes para sites maliciosos.
A Wordfence informou que contatou a equipe de desenvolvimento do LiteSpeed Cache em 14 de agosto. O patch foi implantado em 16 de agosto e lançado para o WordPress em 10 de outubro. Os usuários agora precisam atualizar o LiteSpeed Cache para a versão 5.7 para corrigir completamente essa falha de segurança. Embora perigosa, a proteção contra Cross-Site Scripting integrada do firewall da Wordfence ajudou a prevenir essa exploração.
[anúncio_2]
Link da fonte
Comentário (0)