Le populaire plugin WordPress LiteSpeed a corrigé une vulnérabilité qui compromettait plus de 4 millions de sites Web, permettant aux pirates de télécharger des scripts malveillants.
LiteSpeed a été informé de la vulnérabilité il y a deux mois, le 14 août, et a publié un correctif en octobre.
Vulnérabilité de script intersite (XSS)
Wordfence a découvert une vulnérabilité Cross-Site Scripting (XSS) dans le plugin LiteSpeed, le plugin de mise en cache WordPress le plus populaire au monde.
Les vulnérabilités XSS sont généralement du type qui profite de l'absence d'un processus de sécurité appelé nettoyage et échappement des données.
La désinfection est une technique qui filtre quels types de fichiers peuvent être téléchargés via une entrée légitime, comme sur un formulaire de contact.
Dans la vulnérabilité spécifique LiteSpeed, la mise en œuvre d'une fonctionnalité de shortcode a permis à un pirate informatique malveillant de télécharger des scripts qu'il ne pourrait autrement pas utiliser si les protocoles de sécurité appropriés de désinfection/fuite de données avaient été en place.
La page du développeur WordPress décrit la pratique de sécurité de la désinfection :
« Les données non fiables proviennent de nombreuses sources (utilisateurs, sites tiers, même votre propre base de données !) et doivent toutes être vérifiées avant d'être utilisées.
… La désinfection des entrées est le processus de sécurisation/nettoyage/filtrage des données d’entrée.
Une autre page de développeur WordPress décrit le processus recommandé pour échapper des données comme ceci :
« L'échappement de la sortie est le processus de sécurisation des données de sortie en supprimant les données indésirables, comme les balises HTML ou de script mal formées.
Ce processus permet de sécuriser vos données avant de les restituer à l'utilisateur final.
Cette vulnérabilité spécifique nécessite que le pirate informatique obtienne d'abord des autorisations de niveau contributeur afin de mener l'attaque, ce qui rend la réalisation de l'attaque plus compliquée que d'autres types de menaces non authentifiées (ne nécessitant aucun niveau d'autorisation).
Selon Wordfence :
« Cela permet aux acteurs malveillants de mener des attaques XSS stockées. Une fois qu'un script est injecté dans une page ou une publication, il s'exécutera chaque fois qu'un utilisateur accède à la page concernée.
Bien que cette vulnérabilité nécessite qu'un compte de contributeur de confiance soit compromis ou qu'un utilisateur puisse s'inscrire en tant que contributeur, les acteurs malveillants qui réussissent pourraient voler des informations sensibles, manipuler le contenu du site, injecter des utilisateurs administratifs, modifier des fichiers ou rediriger les utilisateurs vers des sites Web malveillants qui sont toutes des conséquences graves.
Quelles versions du plugin LiteSpeed sont vulnérables ?
Les versions 5.6 ou inférieures du plugin LiteSpeed Cache sont vulnérables à l'attaque XSS.
Les utilisateurs de LiteSpeed Cache sont encouragés à mettre à jour leur plugin dès que possible vers la dernière version, la 5.7, publiée le 10 octobre 2023.
Lisez le bulletin Wordfence sur la vulnérabilité LiteSpeed XSS :
4 millions de sites WordPress affectés par la vulnérabilité de script intersite stocké dans le plugin LiteSpeed Cache
Image en vedette par Shutterstock/Asier Romero