Dans un article sur son blog, l'équipe de renseignement sur les menaces de Wordfence a déclaré avoir divulgué de manière responsable une vulnérabilité de script intersite (XSS) dans le plugin LiteSpeed ​​​​Cache. Il s’agit d’un plugin populaire qui a été installé sur plus de 4 millions de sites Web WordPress. Cette vulnérabilité permet aux pirates disposant de privilèges de contributeur d'injecter des scripts malveillants à l'aide de codes courts.

LiteSpeed ​​​​Cache est un plugin qui accélère les sites Web WordPress avec la mise en cache et la prise en charge de l'optimisation au niveau du serveur. Ce plugin fournit un shortcode qui peut être utilisé pour stocker des blocs à l'aide de la technologie Edge Side lorsqu'il est ajouté à WordPress.

Cependant, Wordfence affirme que l'implémentation du shortcode du plugin n'est pas sécurisée, permettant l'insertion de scripts arbitraires dans ces pages. Les tests du code vulnérable montrent que la méthode du shortcode ne vérifie pas correctement les entrées et les sorties. Cela permet aux acteurs de la menace de réaliser des attaques XSS. Lorsqu'il est inclus dans une page ou un article, le script s'exécutera chaque fois qu'un utilisateur le visitera.

Bien que la vulnérabilité nécessite un compte de contributeur compromis ou un utilisateur pour s'inscrire en tant que contributeur, Wordfence indique qu'un attaquant pourrait voler des informations sensibles, manipuler le contenu du site Web, attaquer les administrateurs, modifier des fichiers ou rediriger les visiteurs vers des sites Web malveillants.

Wordfence a déclaré avoir contacté l'équipe de développement de LiteSpeed ​​​​Cache le 14 août. Le correctif a été déployé le 16 août et publié sur WordPress le 10 octobre. Les utilisateurs doivent maintenant mettre à jour LiteSpeed ​​​​Cache vers la version 5.7 pour corriger complètement cette faille de sécurité. Bien que dangereuse, la protection anti-scripting intersite intégrée du pare-feu Wordfence a permis d'empêcher cet exploit.