ทีมข่าวกรองด้านภัยคุกคามของ Wordfence เขียนในบล็อกว่าได้เปิดเผยช่องโหว่ cross-site scripting (XSS) ในปลั๊กอิน LiteSpeed ​​​​Cache อย่างมีความรับผิดชอบ ปลั๊กอินนี้ได้รับความนิยมและได้รับการติดตั้งบนเว็บไซต์ WordPress มากกว่า 4 ล้านเว็บไซต์ ช่องโหว่นี้ทำให้แฮกเกอร์ที่มีสิทธิ์ผู้สนับสนุนสามารถแทรกสคริปต์ที่เป็นอันตรายโดยใช้รหัสสั้นได้

LiteSpeed ​​​​Cache เป็นปลั๊กอินที่เพิ่มความเร็วให้กับเว็บไซต์ WordPress ด้วยการแคชและการรองรับการเพิ่มประสิทธิภาพในระดับเซิร์ฟเวอร์ ปลั๊กอินนี้มีรหัสสั้นที่สามารถใช้จัดเก็บบล็อคโดยใช้เทคโนโลยี Edge Side เมื่อเพิ่มลงใน WordPress

อย่างไรก็ตาม Wordfence กล่าวว่าการใช้งานชอร์ตโค้ดของปลั๊กอินนั้นไม่ปลอดภัย ซึ่งทำให้สามารถแทรกสคริปต์ต่างๆ เข้าไปในหน้าเหล่านี้ได้ การทดสอบโค้ดที่มีช่องโหว่แสดงให้เห็นว่าวิธีการใช้ชอร์ตโค้ดไม่ตรวจสอบอินพุตและเอาต์พุตอย่างเหมาะสม ซึ่งจะทำให้ผู้ก่อให้เกิดภัยคุกคามสามารถดำเนินการโจมตี XSS ได้ เมื่อรวมอยู่ในเพจหรือโพสต์ สคริปต์จะดำเนินการทุกครั้งที่ผู้ใช้เข้าชม

แม้ว่าช่องโหว่นี้จำเป็นต้องมีบัญชีผู้สนับสนุนที่ถูกบุกรุกหรือผู้ใช้ต้องลงทะเบียนเป็นผู้สนับสนุน Wordfence กล่าวว่าผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน จัดการเนื้อหาเว็บไซต์ โจมตีผู้ดูแลระบบ แก้ไขไฟล์ หรือเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังเว็บไซต์ที่เป็นอันตรายได้

Wordfence กล่าวว่าได้ติดต่อทีมพัฒนา LiteSpeed ​​​​Cache เมื่อวันที่ 14 สิงหาคม แพตช์ดังกล่าวได้รับการติดตั้งเมื่อวันที่ 16 สิงหาคมและปล่อยให้กับ WordPress เมื่อวันที่ 10 ตุลาคม ปัจจุบันผู้ใช้จะต้องอัปเดต LiteSpeed ​​​​Cache เป็นเวอร์ชัน 5.7 เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยนี้ให้สมบูรณ์ แม้ว่าจะเป็นอันตราย แต่การป้องกัน Cross-Site Scripting ในตัวของไฟร์วอลล์ Wordfence ก็ช่วยป้องกันการโจมตีนี้ได้