Il popolare plug-in LiteSpeed WordPress ha risolto una vulnerabilità che ha compromesso oltre 4 milioni di siti Web, consentendo agli hacker di caricare script dannosi.
LiteSpeed è stata informata della vulnerabilità due mesi fa, il 14 agosto, e ha rilasciato una patch in ottobre.
Vulnerabilità del Cross-Site Scripting (XSS).
Wordfence ha scoperto una vulnerabilità Cross-Site Scripting (XSS) nel plugin LiteSpeed, il plugin di caching di WordPress più popolare al mondo.
Le vulnerabilità XSS sono generalmente un tipo che sfrutta la mancanza di un processo di sicurezza chiamato sanificazione e fuga dei dati.
La sanificazione è una tecnica che filtra il tipo di file che possono essere caricati tramite un input legittimo, come in un modulo di contatto.
Nella vulnerabilità specifica di LiteSpeed, l’implementazione di una funzionalità shortcode ha consentito a un hacker malintenzionato di caricare script che altrimenti non sarebbe stato in grado di eseguire se fossero stati implementati i protocolli di sicurezza adeguati di sanificazione/fuga dei dati.
La pagina degli sviluppatori di WordPress descrive il pratica di sicurezza della sanificazione:
“I dati non attendibili provengono da molte fonti (utenti, siti di terze parti, persino il tuo stesso database!) e devono essere tutti controllati prima di essere utilizzati.
…La sanificazione degli input è il processo di protezione/pulizia/filtraggio dei dati di input.”
Un’altra pagina per sviluppatori di WordPress descrive il metodo consigliato processo di fuga dei dati come questo:
“L’escape dell’output è il processo di protezione dei dati di output eliminando i dati indesiderati, come tag HTML o script non validi.
Questo processo aiuta a proteggere i tuoi dati prima di renderli per l’utente finale.”
Questa specifica vulnerabilità richiede che l’hacker ottenga prima le autorizzazioni a livello di collaboratore per eseguire l’attacco, il che rende l’esecuzione dell’attacco più complicata rispetto ad altri tipi di minacce non autenticate (che non richiedono alcun livello di autorizzazione).
Secondo Wordfence:
“Ciò consente agli autori delle minacce di effettuare attacchi XSS archiviati. Una volta inserito in una pagina o in un post, lo script verrà eseguito ogni volta che un utente accede alla pagina interessata.
Sebbene questa vulnerabilità richieda che l’account di un collaboratore fidato sia compromesso o che un utente sia in grado di registrarsi come collaboratore, gli autori delle minacce di successo potrebbero rubare informazioni sensibili, manipolare il contenuto del sito, inserire utenti amministrativi, modificare file o reindirizzare gli utenti a siti Web dannosi che sono tutte conseguenze gravi”.
Quali versioni del plugin LiteSpeed sono vulnerabili?
Le versioni 5.6 o precedenti del plugin LiteSpeed Cache sono vulnerabili all’attacco XSS.
Gli utenti di LiteSpeed Cache sono incoraggiati ad aggiornare il proprio plug-in il prima possibile all’ultima versione, 5.7, rilasciata il 10 ottobre 2023.
Leggi il bollettino Wordfence sulla vulnerabilità XSS LiteSpeed:
Immagine in primo piano di Shutterstock/Asier Romero