قال فريق استخبارات التهديدات في Wordfence في مدونته إنه كشف بشكل مسؤول عن وجود ثغرة أمنية في نصوص المواقع المتقاطعة (XSS) في البرنامج الإضافي LiteSpeed ​​​​Cache. هذا هو أحد المكونات الإضافية الشهيرة التي تم تثبيتها على أكثر من 4 ملايين موقع WordPress. تسمح هذه الثغرة الأمنية للمتسللين الذين يتمتعون بامتيازات المساهمة بحقن البرامج النصية الضارة باستخدام الرموز المختصرة.

LiteSpeed ​​​​Cache هو مكون إضافي يعمل على تسريع مواقع WordPress من خلال دعم التخزين المؤقت وتحسين مستوى الخادم. يوفر هذا المكون الإضافي رمزًا مختصرًا يمكن استخدامه لتخزين الكتل باستخدام تقنية Edge Side عند إضافته إلى WordPress.

ومع ذلك، تقول Wordfence أن تنفيذ الكود المختصر للمكون الإضافي غير آمن، مما يسمح بإدراج نصوص عشوائية في هذه الصفحات. يُظهر اختبار الكود المعرض للخطر أن طريقة الرمز المختصر لا تتحقق بشكل كافٍ من المدخلات والمخرجات. يتيح هذا لممثلي التهديد تنفيذ هجمات XSS. عند تضمين البرنامج النصي في صفحة أو منشور، سيتم تنفيذه في كل مرة يزوره المستخدم.

في حين تتطلب الثغرة الأمنية حساب مساهم مخترق أو مستخدم للتسجيل كمساهم، تقول Wordfence أن المهاجم قد يسرق معلومات حساسة، أو يتلاعب بمحتوى موقع الويب، أو يهاجم المسؤولين، أو يعدل الملفات، أو يعيد توجيه الزوار إلى مواقع ويب ضارة.

صرحت شركة Wordfence أنها تواصلت مع فريق تطوير LiteSpeed ​​​​Cache في 14 أغسطس. وتم نشر التصحيح في 16 أغسطس وتم إصداره إلى WordPress في 10 أكتوبر. يحتاج المستخدمون الآن إلى تحديث LiteSpeed ​​​​Cache إلى الإصدار 5.7 لإصلاح هذا الخلل الأمني ​​​​بالكامل. على الرغم من خطورتها، ساعدت الحماية المضمنة في Cross-Site Scripting الموجودة في جدار الحماية Wordfence في منع هذا الاستغلال.