Lỗ hổng XSS được vá trong plugin bộ nhớ đệm LiteSpeed phổ biến ảnh hưởng đến hơn 4 triệu trang web WordPress
Plugin LiteSpeed WordPress phổ biến đã vá một lỗ hổng xâm phạm hơn 4 triệu trang web, cho phép tin tặc tải lên các tập lệnh độc hại.
LiteSpeed đã được thông báo về lỗ hổng này hai tháng trước vào ngày 14 tháng 8 và phát hành bản vá vào tháng 10.
Lỗ hổng Cross-Site Scripting (XSS)
Wordfence đã phát hiện ra lỗ hổng Cross-Site Scripting (XSS) trong plugin LiteSpeed, plugin bộ nhớ đệm WordPress phổ biến nhất trên thế giới.
Các lỗ hổng XSS nói chung là một loại lợi dụng việc thiếu quy trình bảo mật được gọi là khử trùng và thoát dữ liệu.
Dọn dẹp là một kỹ thuật lọc loại tệp nào có thể được tải lên thông qua đầu vào hợp pháp, như trên biểu mẫu liên hệ.
Trong lỗ hổng LiteSpeed cụ thể, việc triển khai chức năng shortcode cho phép tin tặc độc hại tải lên các tập lệnh mà nếu không chúng sẽ không thể có các giao thức bảo mật thích hợp để dọn dẹp/thoát dữ liệu.
Trang dành cho nhà phát triển WordPress mô tả phương pháp bảo mật vệ sinh :
“Dữ liệu không đáng tin cậy đến từ nhiều nguồn (người dùng, trang web của bên thứ ba, thậm chí cả cơ sở dữ liệu của riêng bạn!) và tất cả dữ liệu đó cần phải được kiểm tra trước khi sử dụng.
…Khử trùng đầu vào là quá trình bảo mật/làm sạch/lọc dữ liệu đầu vào.”
Một trang dành cho nhà phát triển WordPress khác mô tả quy trình thoát dữ liệu được đề xuất như thế này:
“Thoát đầu ra là quá trình bảo mật dữ liệu đầu ra bằng cách loại bỏ dữ liệu không mong muốn, như thẻ HTML hoặc tập lệnh không đúng định dạng.
Quá trình này giúp bảo mật dữ liệu của bạn trước khi hiển thị cho người dùng cuối.”
Lỗ hổng cụ thể này yêu cầu tin tặc trước tiên phải có được quyền ở cấp độ người đóng góp để thực hiện cuộc tấn công, điều này khiến việc thực hiện cuộc tấn công trở nên phức tạp hơn so với các loại mối đe dọa khác không được xác thực (không yêu cầu cấp độ quyền).
Theo Wordfence:
“Điều này giúp các tác nhân đe dọa có thể thực hiện các cuộc tấn công XSS được lưu trữ. Khi tập lệnh được đưa vào trang hoặc bài đăng, tập lệnh sẽ thực thi mỗi khi người dùng truy cập trang bị ảnh hưởng.
Mặc dù lỗ hổng này yêu cầu tài khoản cộng tác viên đáng tin cậy phải bị xâm phạm hoặc người dùng có thể đăng ký làm cộng tác viên, nhưng những kẻ đe dọa thành công có thể đánh cắp thông tin nhạy cảm, thao túng nội dung trang web, tiêm vào người dùng quản trị, chỉnh sửa tệp hoặc chuyển hướng người dùng đến các trang web độc hại. đều là những hậu quả nặng nề.”
Phiên bản nào của plugin LiteSpeed dễ bị tấn công?
Phiên bản 5.6 trở xuống của plugin LiteSpeed Cache dễ bị tấn công XSS.
Người dùng LiteSpeed Cache được khuyến khích cập nhật plugin của họ lên phiên bản mới nhất, 5.7, được phát hành vào ngày 10 tháng 10 năm 2023 càng sớm càng tốt.
Đọc bản tin Wordfence về lỗ hổng LiteSpeed XSS:
4 triệu trang web WordPress bị ảnh hưởng bởi lỗ hổng tập lệnh chéo trang được lưu trữ trong plugin LiteSpeed Cache
