È stata scoperta una vulnerabilità critica nel plug-in LiteSpeed Cache, un popolare plug-in WordPress installato su oltre 4 milioni di siti Web.
Questo difetto, identificato come memorizzato Scripting tra siti (XSS) vulnerabilità, rappresenta un rischio significativo per milioni di siti Web, consentendo potenzialmente agli aggressori di eseguire script dannosi.
Questa vulnerabilità, identificata come CVE-2023-40000interessa esplicitamente le versioni del plugin fino alla 5.6 ed è stato prontamente risolto dal team di LiteSpeed Technologies con una patch rilasciata nella versione 5.7.0.11.
Il difetto XSS deriva dall'incapacità del plugin di disinfettare adeguatamente l'input dell'utente, in particolare nella gestione del file update_cdn_status
funzione, ha detto Rafie Muhammad di Pathstack.
Questa funzione, che aggiorna lo stato di configurazione automatica della CDN, non controllava adeguatamente l'input degli utenti, portando alla possibilità di eseguire codice non disinfettato.
La vulnerabilità è ulteriormente aggravata da un controllo degli accessi inadeguato su uno degli endpoint API REST del plugin, consentendo agli utenti non autenticati di sfruttare potenzialmente questo difetto.
Considerato l’uso diffuso del plugin LiteSpeed Cache, l’impatto di questa vulnerabilità non può essere sopravvalutato. I siti Web che non si aggiornano alla versione con patch rimangono a rischio di furto di dati, accesso non autorizzato e altre attività dannose.
Il plugin LiteSpeed Cache è rinomato per la sua cache a livello di server e le funzionalità di ottimizzazione, che lo rendono un componente fondamentale per molti siti WordPress che cercano di migliorare le prestazioni.
“Si noti che questa vulnerabilità è riproducibile in un'installazione e attivazione predefinite del plug-in LiteSpeed Cache senza requisiti o configurazioni specifici”, si legge il rapporto.
Raccomandazioni per gli utenti
Si consiglia vivamente agli utenti del plug-in LiteSpeed Cache di aggiornare immediatamente alla versione 5.7.0.1 o successiva. Per coloro che sono preoccupati per le future vulnerabilità, servizi come Patchstack offrono protezione in tempo reale e notifiche di vulnerabilità per i plugin di WordPress, incluso LiteSpeed Cache.
Patchstack fornisce vari piani, incluso un piano comunitario gratuito, per aiutare i proprietari di siti Web a evitare potenziali minacce alla sicurezza.
La scoperta della vulnerabilità XSS nel plugin LiteSpeed Cache serve a ricordare la costante vigilanza necessaria per proteggere i siti WordPress.
Sebbene la tempestiva correzione della falla da parte di LiteSpeed Technologies abbia mitigato il rischio immediato, i proprietari di siti Web devono garantire che i loro siti siano aggiornati per evitare di cadere vittime di tali vulnerabilità.
Con oltre 4 milioni di siti potenzialmente interessati, questa vulnerabilità evidenzia l’importanza di aggiornamenti regolari e monitoraggio della sicurezza per tutti i plugin di WordPress.
Puoi bloccare malware, inclusi trojan, ransomware, spyware, rootkit, worm ed exploit zero-day, con Protezione antimalware Perimeter81. Sono tutti estremamente dannosi, possono provocare danni e danneggiare la rete.
Rimani aggiornato su notizie, white paper e infografiche sulla sicurezza informatica. Seguici su LinkedIn & Twitter.
puravive reviews
29/02/2024 a 00:09This stage is incredible. The magnificent information uncovers the administrator’s excitement. I’m shocked and anticipate additional such astonishing material.