Une faille de sécurité met en danger 4 millions de sites WordPress

Sur son blog, l'équipe de veille sur les menaces de Wordfence a déclaré avoir divulgué de manière responsable une vulnérabilité de type cross-site scripting (XSS) dans le plugin LiteSpeed Cache, un module complémentaire populaire installé sur plus de 4 millions de sites WordPress. Cette vulnérabilité permettait aux pirates disposant de privilèges de contributeur d'injecter des scripts malveillants à l'aide de shortcodes.

LiteSpeed Cache est un plugin qui accélère les sites WordPress grâce à la mise en cache et à l'optimisation au niveau du serveur. Ce plugin fournit un shortcode permettant de mettre en cache les blocs grâce à la technologie Edge Side lorsqu'il est intégré à WordPress.

Cependant, Wordfence a indiqué que l'implémentation du shortcode par le plugin était non sécurisée, permettant l'insertion de scripts arbitraires dans ces pages. L'analyse du code vulnérable a révélé que la méthode du shortcode ne vérifiait pas correctement les entrées et les sorties. Cela a permis à l'auteur de la menace de lancer des attaques XSS. Une fois inséré dans une page ou un article, le script s'exécutait à chaque consultation.

Bien que la vulnérabilité nécessite un compte de contributeur compromis ou un utilisateur pour s'inscrire en tant que contributeur, Wordfence indique qu'un attaquant pourrait voler des informations sensibles, manipuler le contenu du site Web, attaquer les administrateurs, modifier des fichiers ou rediriger les visiteurs vers des sites Web malveillants.

Wordfence a déclaré avoir contacté l'équipe de développement de LiteSpeed Cache le 14 août. Le correctif a été déployé le 16 août et déployé sur WordPress le 10 octobre. Les utilisateurs doivent désormais mettre à jour LiteSpeed Cache vers la version 5.7 pour corriger complètement cette faille de sécurité. Bien que dangereuse, la protection anti-scripting intersite (CSS) intégrée au pare-feu de Wordfence a permis d'empêcher cette faille.