У своєму блозі команда розвідки загроз Wordfence повідомила, що відповідально розкрила вразливість міжсайтового скриптингу (XSS) у плагіні LiteSpeed Cache, популярному доповненні, встановленому на понад 4 мільйонах сайтів WordPress. Ця вразливість дозволяє хакерам з правами учасника впроваджувати шкідливі скрипти за допомогою шорткодів.
LiteSpeed Cache – це плагін, який пришвидшує роботу веб-сайтів WordPress за допомогою кешування та оптимізації на рівні сервера. Цей плагін надає шорткод, який можна використовувати для кешування блоків за допомогою технології Edge Side після додавання до WordPress.
Однак, Wordfence заявила, що реалізація шорткоду плагіна була небезпечною, що дозволяло вставляти довільні скрипти на ці сторінки. Аналіз вразливого коду показав, що метод шорткоду неадекватно перевіряв вхідні та вихідні дані. Це дозволяло зловмиснику виконувати XSS-атаки. Після вставки на сторінку або допис скрипт виконувався щоразу, коли користувач відвідував її.
LiteSpeed Cache – це відомий плагін для прискорення роботи на платформі WordPress.
Хоча для доступу до вразливості потрібен скомпрометований обліковий запис автора або користувач для реєстрації як автор, Wordfence зазначає, що зловмисник може викрасти конфіденційну інформацію, маніпулювати вмістом веб-сайту, атакувати адміністраторів, редагувати файли або перенаправляти відвідувачів на шкідливі веб-сайти.
Wordfence повідомив, що зв’язався з командою розробників LiteSpeed Cache 14 серпня. Патч було розгорнуто 16 серпня та випущено для WordPress 10 жовтня. Тепер користувачам потрібно оновити LiteSpeed Cache до версії 5.7, щоб повністю виправити цей недолік безпеки. Хоча це небезпечно, вбудована функція захисту від міжсайтового скриптингу брандмауера Wordfence допомогла запобігти цьому експлойту.
Посилання на джерело
![Перехідний період Донг Най OCOP: [Стаття 3] Зв'язок туризму зі споживанням продукції OCOP](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/10/1762739199309_1324-2740-7_n-162543_981.jpeg)
Коментар (0)