Nhóm thông tin về mối đe dọa của Wordfence đã thông báo về lỗ hổng chèn mã chéo trang (XSS) trong plugin LiteSpeed Cache, một tiện ích bổ sung đã được cài đặt hơn 4 triệu website WordPress. Nếu khai thác thành công lỗ hổng bảo mật này, tin tặc có thể đưa các tập lệnh độc hại vào bằng mã ngắn.
LiteSpeed Cache là một plugin sử dụng bộ đệm và hỗ trợ tối ưu hóa cấp máy chủ để tăng tốc website WordPress. Phần bổ sung này cung cấp một mã ngắn (shortcode), khi được thêm vào WordPress sẽ lưu trữ các khối bằng công nghệ Edge Side.
Tuy nhiên việc triển khai shortcode của plugin không an toàn, có thể tùy ý chèn các tập lệnh và các trang này. Vì vậy, kẻ xấu có thể thực hiện các cuộc tấn công XSS. Khi được đưa vào trang hoặc bài đăng, mỗi khi người dùng truy cập tập lệnh sẽ thực thi.
Để khai thác được lỗ hổng này, tin tặc phải có tài khoản cộng tác viên. Nếu thành công, kẻ xấu có thể thao túng nội dung website, tấn công quản trị viên, đánh cắp thông tin nhạy cảm, chỉnh sửa tập tin hoặc chuyển hướng người truy cập đến các website độc hại.
Wordfence cho biết đã thông báo về lỗ hổng cho nhóm phát triển LiteSpeed Cache vào ngày 14.8 qua. Một bản vá đã được triển khai và phát hành lên WordPress vào ngày 10/10 để khắc phục hoàn toàn lỗi bảo mật này. Vì vậy, các quản trị viên của trang web dùng WordPress nên cập nhật phiên bản LiteSpeed Cache 5.7 ngay để tránh bị khai thác.
