محققان امنیت سایبری آسیب‌پذیری قابل‌توجهی را در افزونه حافظه نهان Litespeed برای وردپرس کشف کرده‌اند.

به گزارش پایگاه اطلاع‌سانی پلیس فتا، این آسیب‌پذیری بر افزونه Cache Litespeed تأثیر می‌گذارد که دارای بیش از 4 میلیون نصب فعال است و خطر XSS ذخیره‌شده غیر معتبر سایت (برنامه‌نویسی متقابل) را نشان می‌دهد. این به‌طور بالقوه می‌تواند دسترسی غیرمجاز به اطلاعات حساس یا افزایش امتیاز را در سایت‌های وردپرس آسیب‌دیده از طریق یک درخواست HTTP واحد فراهم کند.

این نقص که توسط تیم Patchstack کشف‌شده است، ناشی از عدم وجود ضدعفونی ورودی و فرار خروجی در کد افزونه است که با کنترل دسترسی نادرست در یکی از نقاط انتهایی API آن همراه است. این شماره در نسخه 5.7.0.1 از افزونه که به CVE-2023-40000 اختصاص داده، پرداخته‌شده است. به‌طور خاص، آسیب‌پذیری در عملکرد update_cdn_status قرار دارد که توسط نقطه پایانی API CDN_STATUS REST ایجادشده و به کاربران غیرمجاز امکان سوءاستفاده از این نقص را می‌دهد.

برای کاهش ریسک، به کاربران توصیه می‌شود افزونه Cache خود را به آخرین نسخه به‌روز کنند. علاوه بر این، توسعه‌دهندگان تشویق می‌شوند که ضدعفونی‌کننده ورودی مناسب و فرار از خروجی در کد خود، به‌ویژه برای داده‌های نمایش داده‌شده در اعلامیه‌های سرپرست. فروشنده همچنین برای محدود کردن دسترسی به کاربران ممتاز، یک بررسی مجوز در مورد عملکرد آسیب‌دیده را اجرا کرده است.

با وجود پچ، این حادثه بر اهمیت اقدامات امنیتی فعال در توسعه و نگهداری افزونه‌های وردپرس تأکید می‌کند، زیرا آسیب‌پذیری‌ها می‌توانند عواقب گسترده‌ای برای صاحبان وب‌سایت و کاربران داشته باشند.

این آسیب‌پذیری برای اولین بار در 17 اکتبر 2023 کشف شد و باعث برقراری ارتباط با فروشنده افزونه و استقرار یک قانون VPATCH برای محافظت از کاربران شد. در 25 اکتبر، فروشنده نسخه 5.7.0.1 از افزونه Cache Litespeed را برای رسیدگی به مسائل گزارش‌شده منتشر کرد. سرانجام، آسیب‌پذیری‌ها امروز به بانک اطلاعاتی آسیب‌پذیری Patchstack اضافه شد و منجر به انتشار عمومی مشاوره امنیتی شد.