Hơn 4 triệu website bị ảnh hưởng bởi lỗ hổng bảo mật plugin LiteSpeed Cache (WordPress), lỗ hổng này có tên là Cross-Site Scripting (XSS) và đã được vá trong bản cập nhật mới nhất của LiteSpeed Cache.
Lỗ hổng bảo mật này cho phép tin tặc tải lên các tập lệnh độc hại có thể xảy ra trên hơn 4 triệu website đang sử dụng plugin này.
LiteSpeed Cache đã được thông báo về lỗ hổng này vào hai tháng trước (ngày 14 tháng 8) và họ đã phát hành bản vá vào tháng 10. Lỗ hổng đã được xử lý đầy đủ trong phiên bản 5.7 của plugin LiteSpeed Cache.
Lỗ hổng Cross-Site Scripting (XSS) trên LiteSpeed Cache
Wordfence đã phát hiện ra lỗ hổng Cross-Site Scripting (XSS) trong plugin LiteSpeed Cache, plugin bộ nhớ đệm (Cache) phổ biến trên thế giới sử dụng cho mã nguồn WordPress.
Các lỗ hổng XSS là một loại lợi dụng việc thiếu quy trình bảo mật tại các nơi đầu vào có thể tải file lên website, như trên biểu mẫu liên hệ.
Cụ thể, trong lỗ hổng này, việc triển khai chức năng shortcode cho phép tin tặc tải lên các tập lệnh độc hại mà không có các giao thức bảo mật thích hợp trong đầu vào/đầu ra của dữ liệu.
Tin tặc phải có quyền ở cấp độ người đóng góp để thực hiện các cuộc tấn công, điều này khiến việc thực hiện cuộc tấn công trở nên phức tạp hơn so với các loại mối đe dọa khác không được xác thực (không yêu cầu cấp độ phân quyền).
Xem thêm thông tin về lỗ hổng bảo mật LiteSpeed XSS trên Wordfence tại đây.
Phiên bản nào của plugin LiteSpeed bị ảnh hưởng trong đợt này?
Ở các phiên bản 5.6 trở xuống, plugin LiteSpeed Cache dễ bị tấn công XSS.
Ngay bây giờ, người dùng WordPress nên cập nhật lên phiên bản vá mới nhất của LiteSpeed Cache càng sớm càng tốt, đây là phiên bản 5.7 được phát hành vào ngày 10 tháng 10 năm 2023.
