Une faille de sécurité a été découverte dans le plugin LiteSpeed Cache pour WordPress, exposant la possibilité pour des utilisateurs non authentifiés d’augmenter leurs privilèges. Identifiée sous le code CVE-2023-40000, cette vulnérabilité a été résolue avec la version 5.7.0.1, déployée en octobre 2023.
Le plugin présente une vulnérabilité de type cross-site scripting non authentifiée, mettant ainsi en péril la sécurité globale du site. Un utilisateur non authentifié pourrait exploiter cette faille pour dérober des informations sensibles ou même élever ses privilèges sur le site WordPress en effectuant simplement une requête HTTP, selon Rafie, chercheur chez Patchstack. Utilisé par plus de cinq millions de sites pour optimiser les performances, la version la plus récente du plugin, la 6.1, a été publiée le 5 février 2024.
La société de sécurité WordPress indique que le La société de sécurité WordPress indique que le CVE-2023-40000 découle d’une absence de nettoyage des entrées utilisateur et d’une sortie non échappée. Cette vulnérabilité est ancrée dans la fonction update_cdn_status() et peut être reproduite dans une installation par défaut. découle d’une absence de nettoyage des entrées utilisateur et d’une sortie non échappée. Cette vulnérabilité est ancrée dans la fonction update_cdn_status() et peut être reproduite dans une installation par défaut.
En savoir plus sur : Thehackernews.com