Популярный плагин LiteSpeed WordPress исправил уязвимость, которая подвергла риску более 4 миллионов веб-сайтов, позволяя хакерам загружать вредоносные скрипты.
LiteSpeed был уведомлен об уязвимости два месяца назад, 14 августа, и выпустил патч в октябре.
Уязвимость межсайтового скриптинга (XSS)
Wordfence обнаружил уязвимость межсайтового скриптинга (XSS) в плагине LiteSpeed, самом популярном плагине кеширования WordPress в мире.
XSS-уязвимости обычно представляют собой тип, который использует отсутствие процесса безопасности, называемого очисткой и экранированием данных.
Санитизация — это метод, который фильтрует, какие файлы могут быть загружены посредством законных входных данных, например, через контактную форму.
В конкретной уязвимости LiteSpeed реализация функции короткого кода позволяла злоумышленнику загружать скрипты, которые он в противном случае не смог бы выполнить, если бы были установлены надлежащие протоколы безопасности очистки/экранирования данных.
Страница разработчика WordPress описывает практика санитарной безопасности:
«Ненадежные данные поступают из многих источников (пользователи, сторонние сайты и даже ваша собственная база данных!), и все их необходимо проверять перед использованием.
…Очистка входных данных — это процесс защиты/очистки/фильтрации входных данных».
Другая страница разработчика WordPress описывает рекомендуемые процесс экранирования данных так:
«Эскейпирование вывода — это процесс защиты выходных данных путем удаления ненужных данных, таких как неверный HTML-код или теги сценариев.
Этот процесс помогает защитить ваши данные перед их передачей конечному пользователю».
Эта конкретная уязвимость требует, чтобы хакер сначала получил разрешения на уровне участника для проведения атаки, что делает проведение атаки более сложным, чем другие виды угроз, которые не проходят проверку подлинности (не требуют уровня разрешений).
По данным Wordfence:
«Это позволяет злоумышленникам осуществлять хранимые XSS-атаки. После внедрения скрипта на страницу или публикацию он будет выполняться каждый раз, когда пользователь обращается к затронутой странице.
Хотя эта уязвимость требует, чтобы учетная запись доверенного участника была скомпрометирована или пользователь мог зарегистрироваться в качестве участника, успешные злоумышленники могут украсть конфиденциальную информацию, манипулировать содержимым сайта, внедрять пользователей с правами администратора, редактировать файлы или перенаправлять пользователей на вредоносные веб-сайты, которые все это серьезные последствия».
Какие версии плагина LiteSpeed уязвимы?
Плагин LiteSpeed Cache версии 5.6 или ниже уязвим для XSS-атаки.
Пользователям LiteSpeed Cache рекомендуется как можно скорее обновить свой плагин до последней версии 5.7, выпущенной 10 октября 2023 года.
Прочтите бюллетень Wordfence об уязвимости LiteSpeed XSS:
Рекомендованное изображение: Shutterstock/Asier Romero
