Зарубежная недвижимость
Блог
Угроза XSS в плагине LiteSpeed Cache на WordPress: миллионы сайтов риску.

Угроза XSS в плагине LiteSpeed Cache на WordPress: миллионы сайтов риску.

Угроза XSS в плагине LiteSpeed Cache на WordPress: миллионы сайтов риску.

В исследовании, опубликованном компанией Patchstack, под идентификатором CVE-2023-40000 найдена уязвимость XSS в плагине LiteSpeed Cache для WordPress. Уязвимость связана с возможностью хранения данных на сайте в виде кода XSS без необходимости аутентификации пользователя. Это означает, что злоумышленник может использовать данную уязвимость для кражи конфиденциальной информации или повышения своих привилегий на сайте WordPress при выполнении всего одного HTTP-запроса. Плагин LiteSpeed Cache (бесплатная версия) является популярным кэш-плагином для WordPress и имеет более 4 миллионов активных установок.

Уязвимость связана с функцией 'update_cdn_status', поскольку она использует входные данные от пользователя без достаточной фильтрации и безопасной обработки.

Компания Patchstack рекомендует санитизировать и экранировать все сообщения, которые будут отображаться как предупреждения для администратора, используя функции sanitize_text_field или esc_html для обработки значений вне атрибутов HTML и функцию esc_attr для значений внутри атрибутов. Кроме того, рекомендуется применить соответствующие проверки разрешений или авторизации для зарегистрированных конечных точек REST API.

Уязвимость была исправлена в версии 5.7.0.1, выпущенной в октябре 2023 года. Разработчики также добавили проверку разрешений для функции update_cdn_status, ограничивая доступ только для привилегированных пользователей. Пользователям рекомендуется обновить плагин до последней версии для исправления уязвимости.

Тeги

Комментарий

Популярные статьи

Подпишитесь на новостную рассылку от Hatamatata.ru!

Я соглашаюсь с правилами обработки персональных данных и конфиденциальности Hatamatata